Một tác nhân đe dọa được biết đến với tên ShadyPanda đã bị liên kết với một chiến dịch tiện ích mở rộng trình duyệt kéo dài bảy năm, đã tích lũy hơn 4,3 triệu lượt cài đặt theo thời gian.
Năm trong số các tiện ích mở rộng này ban đầu là các chương trình hợp pháp trước khi những thay đổi độc hại được đưa vào giữa năm 2024, theo một báo cáo từ Koi Security, thu hút 300.000 lượt cài đặt. Các tiện ích mở rộng này hiện đã bị gỡ bỏ.
"Các tiện ích mở rộng này hiện chạy remote code execution hàng giờ – tải xuống và thực thi JavaScript tùy ý với quyền truy cập đầy đủ vào trình duyệt," nhà nghiên cứu bảo mật Tuval Admoni cho biết trong một báo cáo được chia sẻ với The Hacker News. "Chúng theo dõi mọi lượt truy cập trang web, trích xuất lịch sử duyệt web được mã hóa và thu thập toàn bộ browser fingerprints."
Để làm cho vấn đề tồi tệ hơn, một trong các tiện ích mở rộng, Clean Master, đã từng được Google giới thiệu và xác minh. Hoạt động xây dựng lòng tin này đã cho phép những kẻ tấn công mở rộng cơ sở người dùng của chúng và lặng lẽ phát hành các bản cập nhật độc hại nhiều năm sau đó mà không gây ra bất kỳ sự nghi ngờ nào.
Trong khi đó, một bộ năm tiện ích bổ sung khác từ cùng nhà phát hành được thiết kế để theo dõi mọi URL mà người dùng truy cập, cũng như ghi lại các truy vấn công cụ tìm kiếm và nhấp chuột, và truyền thông tin đến các máy chủ đặt tại Trung Quốc. Các tiện ích mở rộng này đã được cài đặt khoảng bốn triệu lần, với WeTab một mình đã chiếm ba triệu lượt cài đặt.
Sự Phát Triển của Chiến Dịch Tấn Công
Các dấu hiệu sớm của hoạt động độc hại được cho là đã được quan sát vào năm 2023, khi 20 tiện ích mở rộng trên Chrome Web Store và 125 tiện ích mở rộng trên Microsoft Edge được phát hành bởi các nhà phát triển có tên "nuggetsno15" và "rocket Zhang" tương ứng. Tất cả các tiện ích mở rộng được xác định đều giả mạo là các ứng dụng hình nền hoặc năng suất.
Những tiện ích mở rộng này được phát hiện tham gia vào affiliate fraud bằng cách bí mật chèn các mã theo dõi khi người dùng truy cập eBay, Booking.com hoặc Amazon để tạo ra các khoản hoa hồng bất hợp pháp từ các giao dịch mua của người dùng. Vào đầu năm 2024, cuộc tấn công đã chuyển từ việc chèn mã dường như vô hại sang kiểm soát trình duyệt chủ động thông qua chuyển hướng truy vấn tìm kiếm, thu thập truy vấn tìm kiếm và exfiltration cookie từ các miền cụ thể.
"Mọi tìm kiếm trên web đều được chuyển hướng qua trovi.com – một browser hijacker đã biết," Koi cho biết. "Các truy vấn tìm kiếm được ghi lại, kiếm tiền và bán. Kết quả tìm kiếm bị thao túng để trục lợi."
Cơ Chế Độc Hại và Giám Sát
Vào một thời điểm nào đó giữa năm 2024, năm tiện ích mở rộng, ba trong số đó đã hoạt động hợp pháp trong nhiều năm, đã được sửa đổi để phân phối một bản cập nhật độc hại giới thiệu chức năng giống như backdoor bằng cách kiểm tra miền "api.extensionplay[.]com" mỗi giờ một lần để truy xuất payload JavaScript và thực thi nó.
Payload, về phần mình, được thiết kế để theo dõi mọi lượt truy cập trang web và gửi dữ liệu ở định dạng mã hóa đến một máy chủ ShadyPanda ("api.cleanmasters[.]store"), cùng với browser fingerprint chi tiết. Ngoài việc sử dụng obfuscation rộng rãi để che giấu chức năng, bất kỳ nỗ lực nào để truy cập các developer tools của trình duyệt cũng khiến nó chuyển sang hành vi lành tính.
Hơn nữa, các tiện ích mở rộng có thể thực hiện các cuộc tấn công adversary-in-the-middle (AitM) để tạo điều kiện thuận lợi cho credential theft, session hijacking và arbitrary code injection vào bất kỳ trang web nào.
Hoạt động này đã chuyển sang giai đoạn cuối khi năm tiện ích mở rộng khác được phát hành khoảng năm 2023 cho trung tâm Microsoft Edge Addons, bao gồm WeTab, đã tận dụng cơ sở cài đặt khổng lồ của mình để bật giám sát toàn diện, bao gồm thu thập mọi URL đã truy cập, search queries, mouse clicks, cookies và browser fingerprints.
Chúng cũng được trang bị khả năng thu thập thông tin về cách nạn nhân tương tác với một trang web, chẳng hạn như thời gian dành để xem nó và hành vi cuộn. Tiện ích mở rộng WeTab vẫn có sẵn để tải xuống tại thời điểm viết bài.
Kết Luận và Khuyến Nghị
Những phát hiện này vẽ nên bức tranh về một chiến dịch kéo dài diễn ra qua bốn giai đoạn riêng biệt, dần dần biến các tiện ích mở rộng trình duyệt từ một công cụ hợp pháp thành spyware thu thập dữ liệu. Tuy nhiên, cần lưu ý rằng không rõ liệu những kẻ tấn công có cố tình thổi phồng số lượt tải xuống để tạo ra ảo tưởng về tính hợp pháp hay không.
Người dùng đã cài đặt các tiện ích mở rộng được khuyến nghị gỡ bỏ chúng ngay lập tức và thay đổi credentials của họ để đề phòng.
"Cơ chế tự động cập nhật – được thiết kế để giữ an toàn cho người dùng – đã trở thành vector tấn công," Koi cho biết. "Đường truyền cập nhật đáng tin cậy của Chrome và Edge đã lặng lẽ phát tán malware đến người dùng. Không phishing. Không social engineering. Chỉ là các tiện ích mở rộng đáng tin cậy với những lần cập nhật phiên bản âm thầm đã biến các công cụ năng suất thành nền tảng giám sát."
"Thành công của ShadyPanda không chỉ nằm ở sự tinh vi về mặt kỹ thuật. Đó là việc khai thác có hệ thống cùng một lỗ hổng trong bảy năm: Các marketplace xem xét tiện ích mở rộng khi gửi. Họ không theo dõi những gì xảy ra sau khi phê duyệt."
