Многолетняя операция ShadyPanda, детально проанализированная специалистами Koi Security, демонстрирует, насколько опасными могут быть на первый взгляд безобидные расширения для браузеров. По данным исследователей, злоумышленникам удалось развернуть масштабную сеть из 145 вредоносных расширений для Google Chrome и Microsoft Edge, суммарное число установок которых превысило 4,3 млн. Кампания стартовала еще в 2018 году и до сих пор остается активной в отдельных сегментах.
Масштаб и архитектура кампании ShadyPanda
По информации Koi Security, в рамках операции ShadyPanda было создано 20 расширений для Chrome и 125 для Edge. Особенность атаки заключается в поэтапной эволюции функционала: от относительно безобидного партнерского мошенничества до полноценного инструмента кибершпионажа с возможностью удаленного выполнения кода в браузере.
Первый набор расширений появился в официальных магазинах еще в 2018 году, однако откровенно вредоносная активность начала фиксироваться только с 2023 года. Это типичная тактика для подобных кампаний: расширения сначала набирают репутацию и аудиторию, а затем через обновления получают опасную нагрузку.
Как эволюционировали вредоносные расширения ShadyPanda
Этап 1: партнерское мошенничество под видом полезных утилит
На начальном этапе злоумышленники распространяли расширения, маскируясь под инструменты для смены обоев, улучшения интерфейса и повышения продуктивности. Их основная задача заключалась в партнерском мошенничестве: расширения подменяли ссылки пользователей, внедряя в них свои партнерские идентификаторы сервисов вроде eBay, Booking и Amazon. Так авторы ShadyPanda зарабатывали комиссию с покупок, даже не переходя пока к прямому шпионажу.
Этап 2: перехват поиска и кража cookie
В начале 2024 года схема усложнилась. Одно из расширений — Infinity V+ — начало перехватывать поисковые запросы и перенаправлять их на подконтрольные злоумышленникам ресурсы, включая сайты вида trovi[.]com и поддомены gotocdn. Параллельно оно занималось кражей cookie-файлов, что создает риск захвата сессий на веб-сайтах и несанкционированного доступа к аккаунтам без ввода пароля.
Этап 3: бэкдор с удаленным выполнением кода
Наиболее опасной стала третья фаза кампании. По данным исследователей, пять расширений, загруженных еще в 2018–2019 годах и успевших накопить положительные отзывы, получили обновление с внедренным бэкдором. Этот модуль позволял злоумышленникам удаленно выполнять произвольный JavaScript-код с полным доступом к API браузера.
Ключевым элементом этой стадии стало расширение Clean Master, установленное около 200 000 раз. В сумме расширения с подобной бэкдорной нагрузкой получили порядка 300 000 установок. Скомпрометированные браузеры ежечасно обращались к управляющему серверу (C2) за новыми командами, что фактически превращало их в управляемых «клиентов» в инфраструктуре кибершпионажа.
Этап 4: массовый сбор данных через расширения для Edge
Четвертая, актуальная на момент публикации отчета фаза связана с пятью расширениями для Microsoft Edge, опубликованными компанией Starlab Technology в 2023 году. Эти дополнения были установлены более чем 4 млн раз и ориентированы преимущественно на скрытый сбор конфиденциальных данных о пользователях.
Какие данные собирают шпионские расширения
Собранная расширениями информация передается, по данным Koi Security, на 17 доменов, размещенных в Китае. В типичный набор похищаемых данных входят:
- история посещений и поисковые запросы пользователя;
- информация о посещаемых сайтах и активных вкладках;
- данные о браузере и устройстве (версия, язык, ОС, разрешение экрана);
- идентификаторы и технические метаданные, помогающие отслеживать пользователя;
- cookie-файлы и другие данные сессий, доступные расширению.
Исследователи подчеркивают, что по своему устройству эти расширения могут в любой момент получить через обновление более агрессивный бэкдор, аналогичный тому, который применялся в Clean Master. На текущий момент признаков такого сценария выявлено не было, но архитектура кода оставляет злоумышленникам такую возможность.
Реакция Google и Microsoft, и риски для пользователей
После публикации исследования Google оперативно удалил обнаруженные вредоносные расширения из Chrome Web Store. В то же время в каталоге Microsoft Edge Add-ons на момент отчета продолжали оставаться доступны минимум два подозрительных расширения: WeTab (около 3 млн пользователей) и Infinity New Tab (Pro) (примерно 650 000 установок).
Риски для пользователей, установивших такие расширения, выходят далеко за рамки навязчивой рекламы. Наличие бэкдора и возможности выполнять произвольный JavaScript означает потенциальный доступ к содержимому веб-страниц, токенам авторизации, формам ввода и другим чувствительным данным, используемым прямо в браузере.
Эксперты Koi Security рекомендуют немедленно удалить подозрительные расширения и сменить пароли ко всем важным онлайн‑аккаунтам, особенно к почте, социальным сетям, службам резервного копирования и интернет‑банку. При наличии двухфакторной аутентификации стоит проверить привязанные устройства и активные сессии.
Ситуация с ShadyPanda наглядно показывает, что расширения для браузера требуют такого же уровня внимания, как и любое другое программное обеспечение. Чтобы снизить риск компрометации, имеет смысл регулярно пересматривать список установленных дополнений, удалять все неиспользуемые, отдавать предпочтение хорошо известным разработчикам и внимательно относиться к неожиданным изменениям поведения браузера. Для организаций полезно внедрять политики контроля расширений и централизованно ограничивать установку непроверенных плагинов. Чем меньше «избыточных» расширений установлено, тем ниже вероятность того, что один из них окажется частью следующей кампании наподобие ShadyPanda.
