12 月 2 日消息,网络安全机构 KOI 昨天发布博文,曝光 WeTab 新标签页、Infinity V+ 等 Chrome 扩展程序存在持续多年的恶意行为,目前已有 430 万 Chrome 和 Edge 用户中招,严重侵害用户的数据安全。
据报道,KOI 将攻击者命名为“ShadyPanda”,他们采取“长期潜伏”的攻击策略,先发布功能正常的扩展程序,历经数年累积至数百万下载量后,再悄悄推送夹带恶意代码的更新,并在所有用户的设备上自动启用这些代码。
由于 Chrome 和 Edge 扩展程序商店只在提交时进行审核,这就让上述表面上拥有精选认证、带着大量好评和高下载量的扩展工具暗中“藏毒”,在用户毫无察觉的情况下长时间进行跟踪行为并窃取敏感信息,而且攻击全程都没有使用钓鱼、社工等手段。
附上攻击的三个阶段如下:
早期阶段:隐蔽浏览器劫持、键盘输入记录:
两次恶意活动的详情如下,目前“ShadyPanda”已经停止相关活动:
2023 年的 1 号活动:
涉及 20 个 Chrome 扩展、125 个 Edge 扩展,这些扩展程序都被伪装成壁纸或生产力工具,但会在后台静默跟踪用户数据,当用户访问 eBay、亚马逊、Booking.com 缤客等网站时悄悄注入联盟返利代码,并植入 GA trackers,记录并出售用户的浏览和购买行为。
2023 年的 2 号活动:
该组织将恶意代码包装成“Infinity V+”扩展程序,并将所有搜索结果重定向到浏览器劫持站点 trovi.com,从中窃取 Cookies,并记录搜索栏键入,将所有信息上传到外部服务器。
第一阶段:五个扩展程序植入后门,感染 30 万用户
该组织的第一次活跃活动覆盖五个扩展程序,感染 30 万名用户,并植入了可远程执行代码的后门,其中三个扩展在 2018-2019 年间上架商店,并获得精选认证。
2024 年中旬,“ShadyPanda”在下载量超 30 万后推送了带后门的更新,使得用户的 Chrome 和 Edge 浏览器都变成了攻击载体,尽管目前谷歌已经下架该扩展,但所有受感染浏览器的攻击基础设施仍保持在线。
具体来说,恶意代码能够执行以下行为:
每小时向 api.extensionplay [.]com 查询新指令
下载任意 JavaScript
以浏览器 API 的完整权限执行代码
向任意网站注入 HTTPS 恶意内容
其中一款扩展程序会收集并上传以下内容:
用户访问过的所有 URL
HTTP 引荐来源
活动时间戳
持久化 UUID4 用户标识符
完整浏览器指纹
此外,这些恶意代码还具备反追踪策略,只要用户开启了开发者模式就会立刻“装乖”,改为无害化行为。
第二阶段:五款扩展仍在 Edge 扩展商店,安装量超 400 万
同一个开发者在 2023 年左右向 Edge 扩展商店上传了另外五款扩展,总安装量超 400 万,其中两个会向用户的设备安装恶意软件。
这其中的 WeTab 新标签页安装量达 300 万,它表面上伪装成生产力工具,实际上会记录并实时发送以下用户数据:
用户访问过的所有 URL
搜索结果
鼠标点击
浏览器指纹
页面交互数据
存储访问记录
随后扩展会将数据传回 17 个域名,并且开发者可以随时推送更新,将这些浏览器变成“肉鸡”。