В течение нескольких лет скрытая киберпрограмма превратила доверенные расширения для Chrome и Edge в инструменты слежки и шпионажа. Детальный отчет компании Koi Security выявил, что операция под названием ShadyPanda затронула около 4,3 миллиона пользователей, которые установили расширения, позже обновленные с внедрением скрытого вредоносного кода. Эта кампания демонстрирует, насколько опасны могут быть даже казалось бы безобидные дополнения к браузерам.
История и развитие угрозы
Изначально эти расширения выглядели как простые инструменты для изменения обоев или повышения производительности, не вызывая подозрений у пользователей. Однако со временем, в течение нескольких лет, их разработчики внедрили бесшумные обновления, добавляющие функции слежки. Эти обновления поступали через автоматическую систему обновлений браузеров, без необходимости явного согласия пользователей. В результате, без их ведома, безопасные расширения превращались в мощные инструменты для сбора личных данных и мониторинга активности.
Объем и характер вредоносной деятельности
Исследователи обнаружили, что в кампании задействовано 20 вредоносных расширений для Chrome и 125 — для Microsoft Edge. Многие из них впервые появились в 2018 году без явных признаков угрозы. Через пять лет злоумышленники начали внедрять staged-обновления, меняющие поведение расширений. Вредоносный код внедрялся в реальные ссылки, что позволяло отслеживать покупки пользователей и перенаправлять запросы на поддельные сайты. Расширения собирали широкий спектр данных: историю просмотров, поисковые запросы, куки, нажатия клавиш, отпечатки браузера, координаты мыши и даже содержимое локального хранилища.
Механизмы атак и последствия для пользователей
После получения достаточной доверительности, злоумышленники запустили обновления с бэкдорами, обеспечивающими удаленный доступ к браузеру с возможностью осуществлять часовые операции по выполнению команд. Это позволяло контролировать посещаемые сайты и выводить личные идентификаторы. Также зафиксированы случаи launch-атак типа «человек посередине» (MITM), что позволяло кражу учетных данных, перехват сессий и внедрение вредоносного кода.
При открытии инструментов разработчика расширения переключались в безопасный режим, чтобы избежать обнаружения. Google и Microsoft уже удалили эти расширения со своих магазинов, подтвердив, что их больше нет в публичных каталогах.
Что делать пользователю?
Для защиты важно проверить установленные расширения и сравнить их ID с опубликованными списками. В случае совпадения — немедленно удалить вредоносные дополнения. Для этого откройте:
- Chrome: введите chrome://extensions, найдите каждое расширение, перейдите в «Подробнее» и сравните ID.
- Edge: введите edge://extensions, выполните аналогичные действия.
Если обнаружите подозрительные расширения, удалите их и перезапустите браузер. Также рекомендуется сменить пароли, особенно если использовали такие расширения, как Clean Master, WeTab или Infinity V Plus, поскольку они имели доступ к чувствительным данным.
Дополнительные меры защиты
Проверьте, не были ли ваши email-адреса скомпрометированы в предыдущих утечках, используя специальные сервисы с встроенной проверкой. При обнаружении утечек смените пароли и используйте менеджеры паролей для генерации надежных ключей. Также стоит рассмотреть услуги по удалению личных данных из брокерских баз и сайтов поиска людей — это поможет снизить риск использования ваших данных мошенниками.
Общая безопасность и советы
Несмотря на то, что антивирусные программы не всегда могут обнаружить такие скрытые угрозы, они остаются важной частью защиты. Используйте современные антивирусные решения с функциями резервного копирования и VPN. Периодически проверяйте установленные расширения и будьте внимательны к их разрешениям. Помните: установка меньшего количества доверенных расширений и регулярная их проверка значительно снижают риск скрытых угроз.
Если вы столкнулись с подозрительным расширением или заметили необычное поведение браузера, важно оперативно реагировать, удаляя вредоносные компоненты и изменяя пароли. Ваша бдительность — главный инструмент защиты в современном цифровом мире.