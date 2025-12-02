Троян годами маскировался под полезные инструменты, чтобы внезапно наброситься на пользователей Chrome и MS Edge

Компьютеры более четырех миллионов пользователей Google Chrome и Microsoft Edge удалось заразить хакерам, которые зарабатывали репутацию полезных приложений и только после этого распространяли вредоносное обновление.



Семилетняя шпионская кампания

Специалисты компании по кибербезопасности Koi обнаружили длившуюся семь лет деятельность вредоносных расширений для браузеров, заразивших 4,3 млн пользователей Google Chrome и Microsoft Edge, пишет Register.

Группировка, получившая название ShadyPanda, маскировала свое ПО под инструменты повышения производительности, которые получали огромное количество скачиваний, а интернет-магазины популярных браузеров присваивали им статусы «Проверено» и «Избранное».

Эта ситуация иллюстрируют проблему, которая заключается в том, что торговые площадки «не следят за тем, что происходит после одобрения», считают исследователи.

freepik/dcstudio Рекомендованные Chrome и Edge полезные расширения для браузеров оказались шпионским ПО

Многие расширения удалены из обоих магазинов, но «инфраструктура для полномасштабных атак по-прежнему развернута во всех зараженных браузерах», сообщили в Koi.

Фишинг не нужен

Злоумышленники не жалели времени на маскировку. Они публиковали легитимные расширения, накапливали сотни тысяч, а иногда и миллионы загрузок в течение нескольких лет, и только затем распространяли скрытое вредоносное обновление, которое автоматически устанавливалось среди всей пользовательской базы.

«Никакого фишинга. Никакой социальной инженерии. Только доверенные расширения с незаметными обновлениями версий, которые превратили инструменты для повышения производительности в платформы для слежки», — прокомментировали эксперты Koi.

Некоторые расширения ShadyPanda были выпущенные еще в 2018 г. Пять расширений для Edge от того же издателя вышли в 2023 г. и сейчас имеют суммарно более четырех млн установок. По словам представителей Koi, все пять все еще доступны в магазине приложений Edge: «Расширение уже имеет опасные разрешения, включая доступ ко всем URL-адресам и файлам cookie, пользователи скачивают их прямо сейчас».

Истинные цели

Вредоносное ПО позволяет полностью контролировать браузер, каждый час проверяя api.extensionplay[.]com на наличие новых инструкций, загружает произвольный JavaScript-код и выполняет его с полным доступом к API браузера. Оно также может внедрять вредоносный контент на любые веб-сайты, включая HTTPS-соединения.

Украденные данные (каждый посещенный URL, поисковые запросы, отслеживание щелчков мыши, идентификационные данные браузера, данные о взаимодействии со страницами и полные отпечатки браузера) отправляются на серверы, контролируемые ShadyPanda и расположенные, как утверждают аналитики, в Китае.

Кроме того, вредоносная программа содержит возможности антианализа и переключается в безопасный режим, если исследователь открывает инструменты разработчика.

Специалисты Koi связывают ShadyPanda также с несколькими выявленными ранее хакерскими акциями. Одна из них произошла в 2023 г. и включала 20 расширений для Chrome Web Store и 125 расширений для Microsoft Edge, замаскированных под обои или приложения для повышения производительности. Она затронула площадки eBay, Amazon и Booking.com.