קמפיין ענק ב-Chrome ו-Edge עקב אחרי משתמשים במשך שנים
התוספים קיבלו חותמות Featured ו-Verified, אך מאחורי הקלעים שלחו נתונים, עקבו אחרי פעילות והוציאו מידע רגיש
תמונה: Pixabay
קבוצת תקיפה סינית הוכיחה לאחרונה עד כמה המשפט "סבלנות היא שם המשחק" יכול להיות מדויק. הקבוצה, שקיבלה את השם ShadyPanda, משכה קמפיין זדוני למשל שבע שנים והדביקה יותר מ-4 מיליון משתמשי Google Chrome ו-Microsoft Edge בתוספים נגועים שכללו רוגלות ששלחו מידע אישי ישירות לשרתים בסין.
במשך שנים הקבוצה פרסמה תוספים לגיטימיים וצברה מיליוני התקנות ברחבי העולם ואז היצאה לפעולה שלה ודחפה עדכון זדוני אוטומטי לכל מי שהוריד את התוספים. מכיוון שחנויות התוספים של גוגל ומיקרוסופט מבצעות בדיקות אמינות רק בעת העלאת גרסה ולא מנטרות באופן שוטף, תוספים שנראו מושלמים, חלקם אפילו עם חותמת Featured או Verified, יכלו לעקוב אחרי המשתמשים ולהוציא מהם מידע רגיש במשך שנים.
מי שפרסמה את המידע על הקמפיין היא חברת Koi, שחוקריה כתבו כי הקבוצה הצליחה להוציא את המידע "ללא פישינג, ללא ניסיונות להנדסה חברתית. רק שימוש בתוספים אמינים עם עדכונים שקטים שהפכו כלי עבודה לגיטימיים לפלטפורמת ריגול".
חוקרי החברה חקרו במשך תקופה ארוכה את פעילותה של ShadyPanda וטוענים כי נכון לפרסום הבלוג, ב-1 בדצמבר, שתי מתקפות עדיין פעילות. אחד הקמפיינים האלה כלל חמישה תוספים שהדביקו 300 אלף משתמשים בדלת אחורית שמאפשרת הפעלת קוד מרחוק. שלושה מהתוספים עלו בין 2018 ל-2019 וקיבלו סטטוס "Featured & Verified". אחד מהם, Clean Master של Starlab Technology, עבר את ה-200 אלף התקנות.
לטענתם, במהלך 2024 ואחרי שהתוסף עבר את רף 300 אלף ההתקנות, הקבוצה דחפה את העדכון לכל חמשת התוספים גם בכרום וגם באדג'. למרות שהתוספים הוסרו בהמשך מהחנויות, “התשתית למתקפות מלאות עדיין פעילה על כל הדפדפנים שנדבקו", כתבו החוקרים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
על פי המידע שפרסמו החוקרים, הנוזקה מאפשרת לתוקף להשתלט לחלוטין על הדפדפן והיא יוצרת קשר אחת לשעה עם הכתובת api.extensionplay[.]com לקבלת פקודות חדשות, מורידה קוד JavaScript, מפעילה אותו דרך ממשקי הדפדפן ויכולה להזריק תוכן זדוני לכל אתר גם בחיבורים מאובטחים (HTTPS). לדבריהם, Clean Master שולח את כל המידע הנגנב – כל כתובת שנפתחה, דפוסי ניווט, חותמות זמן, מזהי מעקב קבועים ו-browser fingerprint מלא – לשרתים בשליטת ShadyPanda. כמו כן, לנוזקה הותקנו מנגנוני התחמקות שמאפשרים לה "להתנהג יפה" במידה ומתעורר חשד שחוקרי אבטחה בוחנים את כלי המפתחים.
עוד חמישה תוספים מאותו מפרסם הופיעו ב-Edge סביב 2023 וצברו מעל 4 מיליון התקנות. לפי Koi, כל החמישה עדיין זמינים, ושניים מהם מתקינים רוגלה על מחשב המשתמש. אחד מהם, WeTab, כבר הגיע לשלוש מיליון התקנות והוא למעשה פלטפורמת ריגול שמתחזה לכלי פרודוקטיביות: הוא אוסף כל מה שאפשר, החל מ-URL, חיפושים, עקיבת קליקים, טביעות דפדפן, דפוסי אינטראקציה בעמוד, גישה לזיכרון ושולח הכול בזמן אמת ל-17 דומיינים שונים (שמונה של Baidu בסין, שבעה של WeTab בסין, ו-Google Analytics).
לטענת החוקרים, "לתוסף כבר יש הרשאות מסוכנות כמו גישה לכל כתובת ולכל העוגיות" והם מוסיפים כי הקבוצה פשוט יכולה יכולה לדחוף עדכון בכל רגע "ולהפוך 4 מיליון דפדפנים לנשק עם אותו backdoor כמו ב-Clean Master או משהו חמור יותר".
בנוסף, הקבוצה מצאה גם מספר מתקפות ישנות יותר, שכבר אינן פעילות. אחת מהן כללה כ-125 תוספים ב-Edge שהתחזו לכלי פרודוקטיביות או רקעים לדפדפן. הפעילות של אותן מתקפות הייתה מכוונת לאתרים כמו אמאזון, eBay או בוקינג. לפי Koi, כל הקמפיינים האלו חושפים נקודת תורפה חמורה בניהול תוספים. "אף אחד לא בודק מה קורה אחרי שהתוסף אושר", הם סיכמו.
