Zostały pobrane ponad 4,3 mln razy. Kradną dane i wysyła do Chin
Uwaga na popularne rozszerzenia do przeglądarek Chrome i Edge. Zostały pobrane ponad 4,3 mln razy, a kradną dane i wysyłają na chińskie serwery.
Firma Koi Security ostrzega przed zmasowaną kampanią, w której cyberprzestępcy wykorzystują zainfekowane rozszerzenia do przeglądarek Chrome oraz Edge. W sumie wtyczki zostały pobrane ponad 4,3 mln razy, więc mogły zainfekować mnóstwo komputerów.
Groźne rozszerzenia do Chrome oraz Edge
Operacja, określana jako ShadyPanda, prawdopodobnie prowadzona jest od 2018 roku, ale dopiero w 2023 roku eksperci trafili na jej ślad. W sumie dotyczy aż 145 szkodliwych rozszerzeń, w tym 20 do Chrome oraz aż 125 do Edge.
Niepokojące jest to, że chociaż Google usunął szkodliwe wtyczki z Chrome Web Store, to tego samego nie można powiedzieć o Microsofcie. Tam część z nich nadal jest dostępna, a jedna z nich została pobrana 3 mln razy (liczba może być sztucznie zawyżona).
Rozszerzenia na początku stosowały tzw. oszustwa afiliacyjne, wprowadzają własny kod do linków z eBaya, Amazona czy Booking, przynosząc w ten sposób zyski oszustom. Z czasem przestępcy zaczęli działać śmielej i rozszerzali możliwości swojego oprogramowania. Dzisiaj mogą one kraść dane z przeglądarki, a także zdalnie uruchamiać złośliwy kod i pobierać dowolny JavaScript.
Czwarta i ostatnia faza ataku dotyczyła rozszerzeń opublikowanych przez Starlab Technology. Od 2023 roku uzyskały one ponad 4 mln instalacji. Według badaczy zbierają one dane użytkowników, a następnie wysyłają na chińskie serwery. Chodzi między innymi o historię przeglądania, zapytania do wyszukiwarek, dane odcisków palców, pliki cookies, a nawet kliknięcia myszką wraz ze współrzędnymi.
Wśród najpopularniejszych, niebezpiecznych rozszerzeń znajdują się:
- WeTab 新标签页 — 3 mln pobrań
- Infinity New Tab (Pro) — 650 tys. pobrań
- Clean Master: the best Chrome Cache Cleaner — 300 tys. pobrań
Pełna lista znajduje się w raporcie Koi Security.
