Хакерам удалось заразить свыше 4 миллионов пользователей Google Chrome и Microsoft Edge, создавая иллюзию полезных сервисов перед запуском вредоносных обновлений.
Семилетняя схема под прикрытием
Эксперты компании Koi обнаружили многолетнюю операцию зловредных расширений, которые смогли внедриться в браузеры Chrome и Edge. Группировка ShadyPanda представляла свои инструменты как оптимизаторы производительности, собирая массу загрузок и получая статусы "Проверено" в официальных магазинах.
Этот случай демонстрирует системную проблему: платформы не отслеживают активность приложений после первоначальной проверки.
Даже после дезинфекции магазинов Chrome и Edge, опасная инфраструктура остаётся активной в браузерах пользователей, предупреждают в Koi.
Элегантная подмена без обмана
Злоумышленники действовали терпеливо: годами наращивали аудиторию с безвредными версиями, прежде чем внедрить скрытое обновление для миллионов устройств.
"Никакого фишинга. Просто доверенные расширения с незаметными патчами: из помощников превратились в шпионов", — комментируют специалисты Koi.
Свежие дополнения для Edge от тех же разработчиков набрали свыше 4 млн скачиваний в 2023 году и всё ещё доступны! "Они открывают доступ ко всем данным браузера — пользователи устанавливают их прямо сейчас", — подчеркивают в Koi.
Скрытые возможности в действии
Вредоносный код ежечасно проверяет api.extensionplaycom на новые команды, запускает произвольные скрипты и вмешивается в работу любого сайта, включая защищённые HTTPS-соединения.
Утекает всё: посещённые страницы, поисковые запросы, клики мыши и цифровые отпечатки браузеров. Аналитики утверждают, что серверы управления находятся в Китае.
Программа способна обнаружить анализ: автоматически переходит в безопасный режим при открытии инструментов разработчика.
ShadyPanda связана с прошлыми атаками на Chrome и Edge: 20 "обоев" и 125 "оптимизаторов", затронувших Amazon, eBay и Booking.com.
Источник: biz.cnews.ru
