Групата за напреднали киберзаплахи ShadyPanda стои зад една от най-дългите и най-успешни кампании за браузърно проникване, компрометирала над 4.3 милиона потребители на Chrome и Edge в периода 2018–2025 г.
Тактиката, която превърна операцията в масов успех, се базира на злоупотребата с доверие – доверие към браузърните магазини, към „Featured“ и „Verified“ разширенията и към автоматичните актуализации, които са измислени, за да защитават, а не да заразяват потребителите.
Бавна инфилтрация чрез доверени разширения
Разследването разкрива, че ShadyPanda използва стратегия на дългосрочно внедряване, вместо класическа незабавна експлоатация. Групата поддържа години наред напълно легитимни разширения, като популярното Clean Master, за да изградят база от потребители и да спечелят доверие от Google и Microsoft.
След като натрупват 300 000 активни инсталации, през средата на 2024 г. нападателите разпространяват тиха зловредна актуализация. Тя превръща разширението в канал за часово отдалечено изпълнение на код (RCE).
Всеки компрометиран браузър започва да проверява сървър за команден контрол (api.extensionplay[.]com) всеки час и да изтегля и изпълнява произволен JavaScript с пълни привилегии. Това позволява динамична промяна на полезния товар – от шпионаж до кражба на идентификационни данни или дори рансъмуер, без да бъде задействан статичен анализ.
Фаза 4 – индустриален шпионаж чрез Edge разширения
Докато операцията в Chrome е по-прецизна, настоящата Фаза 4 е масова. Пет активни разширения в Microsoft Edge Marketplace, включително популярното WeTab, остават онлайн към момента и имат над 4 милиона потребители.
Тези разширения не само не са премахнати, но и в реално време ексфилтрират чувствителни данни към сървъри в Китай, включително инфраструктура на Baidu.
Зловредният код:
-
събира пълната история на браузъра
-
прихваща търсения, натискания на клавиши и грешки при въвеждане
-
записва координати на кликове с пикселна точност
-
изпраща URL адреси и навигационни модели в реално време
-
извлича localStorage, sessionStorage и браузърни cookies
-
изгражда устойчиви UUID профили, които оцеляват при рестартирания
По този начин личните и корпоративните браузъри работят като напълно компрометирани шпионски устройства, без потребителят да забележи симптоми.
Детайлен списък на данните, събирани от ShadyPanda
| Категория данни | Какво се събира | Кампании | Метод за ексфилтрация |
|---|---|---|---|
| Browsing Activity | Пълна история на URL, реферери, навигационни модели, времеви отпечатъци | Phase 3 (Clean Master), Phase 4 (WeTab) | AES криптиране (Phase 3), реално време (Phase 4) |
| User Input & Search | Търсения, реални натискания на клавиши, поправки, намерения преди „Enter“ | Phase 2 (Infinity V+), Phase 4 | HTTP без криптиране (Phase 2), Baidu/WeTab (Phase 4) |
| Device Fingerprinting | User Agent, ОС, резолюция, часова зона, език | Phase 3, Phase 4 | Изграждане на уникални профили |
| Behavioral Biometrics | Координати на кликове, елементи на страницата, дълбочина на скрол, време на престой | Phase 4 (WeTab) | Високочестотно изпращане към сървъри в Китай |
| Identity & Storage | UUID4 идентификатори, localStorage, sessionStorage, cookies | Phase 2, 3, 4 | Сесийно отвличане и тракване |
Критичен дефект в браузърната сигурност: доверието е статично, кодът е динамичен
Успехът на ShadyPanda подчертава фундаментален проблем:
моделът на доверие в браузърните магазини е статичен, а зловредните актуализации са динамични.
Разширенията преминават първоначална проверка, получават статус „Verified“ или „Featured“, след което разработчикът може по всяко време да промени кода.
Автоматичните актуализации – функция, създадена да повишава сигурността – в този случай се превръщат във вектор за заразяване, инжектиращ зловреден код директно зад корпоративните защитни стени.
Кампанията на ShadyPanda доказва, че браузърните разширения са високорисков компонент на модерната киберсреда. Довереният статус не гарантира безопасност, а механизмите за авто-обновяване могат да бъдат превърнати в инструмент за масово компрометиране.
Организациите трябва да засилят мониторинга на разширенията, да ограничат инсталацията им чрез политики и да третират браузъра като потенциално рисков елемент в корпоративната инфраструктура, а не като пасивно приложение.
