کمیته رکن چهارم– گروه تهدیدگر ShadyPanda با بهرهگیری از افزونههای مرورگر ظاهراً قانونی، کارزاری مخرب را اجرا کرده که طی آن بیش از ۴.۳ میلیون نصب ثبت شده و اطلاعات کاربران هدف جمعآوری شده است. این فعالیت طی هفت سال، بهویژه از سال ۲۰۲۴، با انتشار بهروزرسانیهای پنهانی آغاز شد.
به گزارش کمیته رکن چهارم، برخی افزونهها مانند Clean Master حتی در گذشته توسط گوگل معرفی شده بودند. مهاجمان پس از جلب اعتماد کاربران، بهروزرسانیهایی منتشر کردند که بهصورت ساعتی کدهای JavaScript از راه دور اجرا میکردند، تاریخچه مرورگر، اثر انگشت مرورگر و دادههای جستجو را استخراج و به سرورهایی در چین منتقل میکردند. افزونه WeTab بهتنهایی سه میلیون نصب داشته است.
کد این افزونهها مبهمسازی شده و بهگونهای طراحی شده بود که هنگام باز شدن ابزار توسعه مرورگر، رفتار آنها بیخطر جلوه میکرد. برخی افزونهها همچنین به اجرای حملات، ربایش نشست و تزریق کد در صفحات وب قادر بودند.
اولین نشانههای فعالیت مشکوک در سال ۲۰۲۳ با افزونههایی در فروشگاههای Chrome و Edge ثبت شد. این افزونهها ابتدا در قالب ابزارهای بهرهوری یا والپیپر منتشر شده و سپس از طریق بهروزرسانی، به ابزار جاسوسی تبدیل شدند. عملکرد آنها شامل هدایت نتایج جستجو، ثبت کلیک، کوکی و رفتار کاربر بود.
این کمپین چهارمرحلهای با استفاده از زیرساخت رسمی بهروزرسانی مرورگرها، بدون نیاز به فیشینگ یا مهندسی اجتماعی، بدافزار را مستقیماً از طریق افزونههای بهظاهر امن توزیع کرده است. کاربران توصیه میشوند در صورت نصب این افزونهها، بلافاصله آنها را حذف و رمزهای عبور خود را تغییر دهند.
