Koi Security w niedawnym wpisie na swoim blogu przedstawiło analizę kampanii ShadyPanda, która ogromną skuteczność uzyskała stopniowym budowaniem zaufania wśród użytkowników rozszerzeń do przeglądarek Chrome i Edge. Zastosowana metoda ataku była bardzo specyficzna i niemal perfekcyjnie dopracowana (wraz z wyciąganiem wniosków po pierwszych mniej udanych atakach), a przy tym ujawniła słabości związane także z pewnymi utartymi w IT schematami postępowania.
Wszystkie złośliwe rozszerzenia początkowo były całkowicie bezpieczne i spełniały swoje funkcje. W 2023 pojawiały się pierwsze złośliwe „aktualizacje” dodające funkcjonalności wstrzykiwania kodów afiliacyjnych przy wizytach na stronach eBay, Amazon i Booking.com oraz integracji z Google Analytics – aktywność użytkownika była odpowiednio monetyzowana.
Kolejna faza rozwoju tej kampanii miała miejsce początkiem 2024 roku, w której rozszerzenia zyskały możliwość kontroli zachowania przeglądarki. Koi Security jako przykład podaje wtyczkę Infinity V+, która oprócz śledzenia aktywności (logowała wszystkie frazy wpisywane w pasek wyszukiwania – w tym te niezakończone naciśnięciem klawisza Enter) manipulowała wynikami wyszukiwania.
W obu przypadkach rozszerzenia były zgłaszane przez użytkowników i usuwane. Autorzy malware najwyraźniej uznali, iż ich skuteczność nie jest satysfakcjonująca i dopracowali plan działania. W tym celu użyto pięciu rozszerzeń, przy czym trzy z nich zostały po raz pierwszy udostępnione w latach 2018-2019. Jedna z tych wtyczek to Clean Master z ponad 200 tys. instalacji. Złośliwa aktualizacja dodała możliwość cogodzinnego wykonywania kodu JavaScript z pełnym dostępem do przeglądarki, a same instrukcje były w pełni kontrolowane przez przestępców (mogły być dynamicznie dostosowywane do potrzeb). Oprócz tego rozszerzenia zaczęły wydobywać zawartość odwiedzanych witryn i przesyłać informacje na serwery atakujących.
Na szczególną uwagę zasłużyła wtyczka WeTab 新标签页 z 3 milionami instalacji (wśród innych pięciu rozszerzeń dla przeglądarki Edge z łącznie 4 milionami użytkowników), która zebrane dane o aktywności przesyłała w głównej mierze na serwery znajdujące się na terytorium Chin.
Można wymienić trzy główne przyczyny tak udanej kampanii złośliwego oprogramowania. Brakuje weryfikacji zmian w rozszerzeniach – rzetelne sprawdzenie przechodzi jedynie pierwsza wersja, a w przypadku aktualizacji taki proces praktycznie nie istnieje. jeżeli ten element nie zostanie usprawniony, można spodziewać się analogicznych sytuacji w przyszłości. Nie wydaje się, aby przy współczesnych narzędziach do analizy kodu dogłębna weryfikacja stanowiła techniczne wyzwania.
W pewnym stopniu winę ponoszą sami użytkownicy. Nie znamy nazw wszystkich rozszerzeń, które zostały wykorzystane przez atakujących. Natomiast wspomniany Clean Master służy do czyszczenia pamięci podręcznej, co jest funkcją każdej przeglądarki internetowej, więc nie ma potrzeby korzystania z zewnętrznych narzędzi. Zresztą wystarczy przejrzeć listę dostępnych rozszerzeń, aby przekonać się, iż użyteczność znacznej ich części jest wyłącznie teoretyczna. Instalacja wielu rozszerzeń zdecydowanie nie jest zalecanym podejściem.
Kolejny problem to automatyczne aktualizacje jakiegokolwiek oprogramowania. W miarę możliwości należy zablokować opcje pozwalające na pobranie i instalację aktualizacji. Pomijając historie podobne do opisanej wyżej, jako użytkownicy nigdy nie mamy pewności, czy wprowadzone zmiany nie będą wiązały się z problemami w działaniu oprogramowania. Aktualizacje powinny być wdrażane, ale jednak przy zachowaniu podstawowej higieny pracy – zapewnienia możliwości przywrócenia działającego stanu.