ShadyPanda恶意软件活动持续7年影响430万用户,通过浏览器扩展程序安装后门和间谍软件收集数据并远程执行代码。攻击分为四个阶段:从广告注入到后门控制和数据窃取。研究人员指出攻击者利用浏览器市场的信任机制进行长期恶意活动。 2025-12-2 16:45:37 Author: www.securityinfo.it(查看原文) 阅读量:2 收藏
ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
Dic 02, 2025 Attacchi, Hacking, In evidenza, Minacce, News, RSS
Una campagna durata sette anni che ha infettato 4.3 milioni di utenti Edge e Chrome: è il bilancio degli impatti di ShadyPanda, una campagna che ha colpito estensioni browser per installare backdoor ed eseguire codice da remoto.
L’indagine di Koi Security ha rivelato due operazioni principali: una Backdoor RCE che ha colpito 300.000 utenti e un’operazione spyware contro 4 milioni di utenti. I ricercatori hanno identificato cinque estensioni “militarizzate” a metà 2024 che eseguono codice arbitrario da remoto su base oraria, sfruttando il pieno accesso al browser. Altre cinque estensioni si occupano invece di collezionare ogni URL visitato, le query di ricerca e i click del mouse, trasmettendo poi questi dati a dei server in Cina.
“Alcune delle estensioni di ShadyPanda sono state segnalate e verificate da Google, garantendo fiducia immediata e distribuzione massiccia. Per sette anni, questo attore ha imparato a sfruttare i marketplace dei browser come arma, costruendo fiducia, accumulando utenti e colpendo con aggiornamenti silenziosi” hanno spiegato i ricercatori.
Le quattro fasi di ShadyPanda
Il team ha identificato quattro fasi principali della campagna attive più o meno a lungo negli ultimi sette anni. Un primo filone riguarda la “truffa degli sfondi”, una campagna molto massiccia, ma meno sofisticata degli altri flussi, avvenuta nel 2023. Si parla di 145 estensioni (20 su Chrome Web Store, 125 su Microsoft Edge) mascherate da app per sfondi o produttività. Le estensioni iniettavano silenziosamente codici di tracciamento affiliato ogni volta che l’utente visitava siti come eBay, Amazon o Booking.com, guadagnando commissioni nascoste su ogni acquisto. Gli attaccanti hanno usato il tracciamento di Google Analytics per registrare e vendere i dati di navigazione.
A inizio 2024 ShadyPanda è diventato più aggressivo ed è passato dalla monetizzazione passiva al controllo attivo del browser. In questo caso, le estensioni malevole reindirizzavano le ricerche verso un browser hijacker (trovi.com) per monetizzare e manipolare i risultati. Le estensioni leggevano i cookie da domini specifici per inviare dati di tracciamento, creando identificatori univoci per monitorare l’attività. Le stringhe digitate dall’utente nella barra di ricerca venivano inviata a server esterni per profilare in tempo reale degli interessi dell’utente.
Una terza fase della campagna è iniziata tra il 2018 e il 2019 quando cinque estensioni (tra le quali Clean Master che conta oltre 200.000 installazioni) sono state caricate e hanno cominciato a operare in modo legittimo, ottenendo lo status di “In Evidenza” e “Verificate” dai marketplace. In seguito, a metà del 2024 gli attaccanti hanno distribuito un aggiornamento malevolo a oltre 300.000 installazioni tramite il meccanismo di aggiornamento automatico di Chrome ed Edge. L’aggiornamento ha installato una backdoor sui browser che ha consentito agli attaccanti di scaricare ed eseguire JavaScript arbitrario con pieno accesso alle API del browser, per veicolare ransomware, sottrarre credenziali o per motivi di spionaggio. un meccanismo che consente potenzialment. Capacità: Si tratta di una backdoor completa. Sebbene il payload attuale sia la sorveglianza, l’attore può decidere in qualsiasi momento di trasformarlo in un veicolo per ransomware, furto di credenziali o spionaggio aziendale.
Infine, l’ultimo flusso è il più grande e ha coinvolto oltre 4 milioni di installazioni combinate. A differenza delle estensioni militarizzate della Fase 3 (che sono state rimosse), questa vasta operazione di sorveglianza da 4 milioni di utenti è attualmente ancora attiva nel marketplace di Microsoft Edge. L’estensione di punta di questa fase è WeTab 新标签页 (WeTab New Tab Page). Mascherata da strumento di produttività WeTab agisce come una sofisticata piattaforma di spyware che raccoglie numerose informazioni, comprese le query di ricerca, i movimenti del mouse, i dati di interazione con le pagine e i cookie.
Poiché le estensioni sono ancora attive, hanno già i permessi di accesso che servono per esfiltrare i dati. Questo significa che l’attore può sfruttare in qualsiasi momento il meccanismo di aggiornamento automatico per distribuire il framework di esecuzione remota di codice della Fase 3 o altri payload più pericolosi.
“Il successo di ShadyPanda non è solo una questione di sofisticazione tecnica. Si tratta piuttosto dello sfruttamento sistematico della stessa vulnerabilità per sette anni: i marketplace esaminano le estensioni al momento della presentazione, ma non controllano cosa succede dopo l’approvazione” hanno sottolineato i ricercatori di Koi Security. Insomma, la “fiducia” si è rivelata la vulnerabilità più grande.
- backdoor, Chrome, Edge, esfiltrazione dati, estensioni browser, estensioni browser malevole, ShadyPanda
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh