ShadyPanda biến các tiện ích mở rộng trình duyệt thành phần mềm gián điệp

[T-X]

Một tác nhân đe dọa có tên ShadyPanda đã liên quan đến chiến dịch mở rộng trình duyệt kéo dài bảy năm, thu hút hơn 4,3 triệu lượt cài đặt theo thời gian.

Theo báo cáo từ Koi Security, năm trong số các tiện ích mở rộng này ban đầu là các chương trình hợp pháp trước khi các thay đổi độc hại xuất hiện vào giữa năm 2024, thu hút 300.000 lượt cài đặt. Các tiện ích mở rộng này hiện đã bị gỡ bỏ.

"Các tiện ích mở rộng này hiện đang chạy thực thi mã từ xa hàng giờ - tải xuống và thực thi JavaScript tùy ý với toàn quyền truy cập trình duyệt", nhà nghiên cứu bảo mật Tuval Admoni cho biết trong một báo cáo được chia sẻ với The Hacker News. "Chúng theo dõi mọi lượt truy cập trang web, trích xuất lịch sử duyệt web được mã hóa và thu thập toàn bộ dấu vân tay trình duyệt."

Tệ hơn nữa, một trong những tiện ích mở rộng, Clean Master, đã từng được Google giới thiệu và xác minh. Hành động xây dựng lòng tin này đã cho phép kẻ tấn công mở rộng cơ sở người dùng và âm thầm phát hành các bản cập nhật độc hại nhiều năm sau mà không hề gây ra bất kỳ nghi ngờ nào.

Trong khi đó, một bộ năm tiện ích bổ sung khác từ cùng nhà phát hành được thiết kế để theo dõi mọi URL mà người dùng đã truy cập, cũng như ghi lại các truy vấn tìm kiếm và nhấp chuột, và truyền thông tin đến các máy chủ đặt tại Trung Quốc. Các tiện ích mở rộng này đã được cài đặt khoảng bốn triệu lần, riêng WeTab chiếm ba triệu lượt cài đặt.

Những dấu hiệu ban đầu của hoạt động độc hại được cho là đã được phát hiện vào năm 2023, khi 20 tiện ích mở rộng trên Chrome Web Store và 125 tiện ích mở rộng trên Microsoft Edge được phát hành bởi các nhà phát triển có tên lần lượt là "nuggetsno15" và "rocket Zhang". Tất cả các tiện ích mở rộng được xác định đều được ngụy trang dưới dạng hình nền hoặc ứng dụng năng suất.

Các tiện ích mở rộng này bị phát hiện tham gia vào hoạt động gian lận tiếp thị liên kết bằng cách lén lút chèn mã theo dõi khi người dùng truy cập eBay,   Đăng nhập để xem liên kết hoặc Amazon để tạo hoa hồng bất hợp pháp từ giao dịch mua hàng của họ. Đầu năm 2024, cuộc tấn công đã chuyển từ việc chèn mã dường như vô hại sang kiểm soát trình duyệt chủ động thông qua việc chuyển hướng truy vấn tìm kiếm, thu thập truy vấn tìm kiếm và đánh cắp cookie từ các tên miền cụ thể.

"Mọi tìm kiếm trên web đều được chuyển hướng qua   Đăng nhập để xem liên kết - một trình duyệt bị hacker tấn công", Koi nói. "Các truy vấn tìm kiếm được ghi lại, kiếm tiền và bán. Kết quả tìm kiếm bị thao túng để kiếm lời."

Vào thời điểm nào đó giữa năm 2024, năm tiện ích mở rộng, trong đó có ba tiện ích đã hoạt động hợp pháp trong nhiều năm, đã bị sửa đổi để phân phối bản cập nhật độc hại có chức năng giống như cửa hậu bằng cách kiểm tra tên miền "api.extensionplay[.]com" mỗi giờ một lần để truy xuất một đoạn mã JavaScript và thực thi nó.

Về phần mình, payload được thiết kế để theo dõi mọi lượt truy cập trang web và gửi dữ liệu ở định dạng được mã hóa đến máy chủ ShadyPanda ("api.cleanmasters[.]store"), cùng với dấu vân tay trình duyệt chi tiết. Bên cạnh việc sử dụng cơ chế che giấu chức năng mở rộng, bất kỳ nỗ lực nào truy cập vào các công cụ dành cho nhà phát triển của trình duyệt đều khiến nó chuyển sang hành vi vô hại.

Hơn nữa, các tiện ích mở rộng có thể dàn dựng các cuộc tấn công ở giữa (AitM) để tạo điều kiện cho việc đánh cắp thông tin đăng nhập, chiếm đoạt phiên và chèn mã tùy ý vào bất kỳ trang web nào.

Hoạt động này chuyển sang giai đoạn cuối khi năm tiện ích mở rộng khác được phát hành vào khoảng năm 2023 trên trung tâm Microsoft Edge Addons, bao gồm WeTab, đã tận dụng cơ sở cài đặt khổng lồ của mình để cho phép giám sát toàn diện, bao gồm thu thập mọi URL đã truy cập, truy vấn tìm kiếm, nhấp chuột, cookie và dấu vân tay trình duyệt.

Chúng cũng được trang bị khả năng thu thập thông tin về cách nạn nhân tương tác với trang web, chẳng hạn như thời gian xem và hành vi cuộn trang. Tiện ích mở rộng WeTab vẫn có sẵn để tải xuống tại thời điểm viết bài.

Những phát hiện này vẽ nên bức tranh về một chiến dịch kéo dài qua bốn giai đoạn riêng biệt, dần dần biến các tiện ích mở rộng trình duyệt từ một công cụ hợp pháp thành phần mềm gián điệp thu thập dữ liệu. Tuy nhiên, cần lưu ý rằng vẫn chưa rõ liệu những kẻ tấn công có cố tình tăng số lượt tải xuống để tạo ảo giác về tính hợp pháp hay không.

Người dùng đã cài đặt tiện ích mở rộng được khuyến cáo nên gỡ bỏ chúng ngay lập tức và thay đổi thông tin đăng nhập để đề phòng.

"Cơ chế tự động cập nhật – được thiết kế để bảo vệ người dùng – đã trở thành mục tiêu tấn công", Koi nói. "Đường dẫn cập nhật đáng tin cậy của Chrome và Edge đã âm thầm phát tán phần mềm độc hại đến người dùng. Không lừa đảo. Không kỹ thuật xã hội. Chỉ có các tiện ích mở rộng đáng tin cậy với các bản cập nhật phiên bản âm thầm, biến các công cụ năng suất thành nền tảng giám sát."

"Thành công của ShadyPanda không chỉ nằm ở sự tinh vi về mặt kỹ thuật. Nó còn nằm ở việc khai thác một cách có hệ thống cùng một lỗ hổng trong bảy năm: Các chợ ứng dụng xem xét các tiện ích mở rộng khi nộp. Họ không quan sát những gì xảy ra sau khi phê duyệt."