Масштабная хакерская операция группы ShadyPanda охватила миллионы пользователей браузеров Chrome и Edge. Специалисты компании Koi Security зафиксировали распространение 145 вредоносных расширений, из которых 20 для Chrome и 125 для Edge. Кампания длится более 7 лет и за это время малварь скачали более 4,3 млн раз.
Первая волна атак состояла из инструментов для персонализации интерфейса и улучшения продуктивности. До определенного момента подобные действия воспринимались пользователями и системами защиты как обычные партнёрские программы.
Со временем «безобидные» расширения превратились в шпионское ПО. Например, расширение Infinity V+ стало перехватывать поисковые запросы с файлами cookie и направлять данные на сторонние ресурсы, которые подконтрольны злоумышленникам.
Следующим этапом стало внедрение мощного инструмента дистанционного управления. Часть расширений с положительной репутацией, загруженных в 2018-2019 годах, получили обновление, которое дает хакерам полный контроль над устройством жертвы. Такие продукты могли дистанционно исполнять произвольный JavaScript-код с максимальным уровнем привилегий, делая возможным сбор любых данных и изменение поведения браузера.
Ключевой элемент атаки – расширение Clean Master, которое установили 200 000 раз. После апдейта оно фактически превратилось в шпионское ПО, регулярно связываясь с управляющими серверами и выполняя поступающие команды.
Кампания ShadyPanda продолжает развиваться. В настоящее время сосредоточена вокруг пяти дополнений для браузера Microsoft Edge, которые используются для сбора личной информации пользователей. Насчитывается более 4 млн установок.
Помимо кражи личных данных, механизм позволял эффективно мониторить поведение пользователей в сети: полную историю посещений, поисковые запросы, перемещения мыши, содержимое локального хранилища и т.д.
Принимая во внимание сложность выявления подобного рода угроз, пользователям рекомендуется внимательно относиться к установленному ПО и оперативно реагировать на уведомления об изменениях настроек браузера.
Первая волна атак состояла из инструментов для персонализации интерфейса и улучшения продуктивности. До определенного момента подобные действия воспринимались пользователями и системами защиты как обычные партнёрские программы.
Со временем «безобидные» расширения превратились в шпионское ПО. Например, расширение Infinity V+ стало перехватывать поисковые запросы с файлами cookie и направлять данные на сторонние ресурсы, которые подконтрольны злоумышленникам.
Следующим этапом стало внедрение мощного инструмента дистанционного управления. Часть расширений с положительной репутацией, загруженных в 2018-2019 годах, получили обновление, которое дает хакерам полный контроль над устройством жертвы. Такие продукты могли дистанционно исполнять произвольный JavaScript-код с максимальным уровнем привилегий, делая возможным сбор любых данных и изменение поведения браузера.
Ключевой элемент атаки – расширение Clean Master, которое установили 200 000 раз. После апдейта оно фактически превратилось в шпионское ПО, регулярно связываясь с управляющими серверами и выполняя поступающие команды.
Кампания ShadyPanda продолжает развиваться. В настоящее время сосредоточена вокруг пяти дополнений для браузера Microsoft Edge, которые используются для сбора личной информации пользователей. Насчитывается более 4 млн установок.
Помимо кражи личных данных, механизм позволял эффективно мониторить поведение пользователей в сети: полную историю посещений, поисковые запросы, перемещения мыши, содержимое локального хранилища и т.д.
Принимая во внимание сложность выявления подобного рода угроз, пользователям рекомендуется внимательно относиться к установленному ПО и оперативно реагировать на уведомления об изменениях настроек браузера.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь