Исследовательская группа компании Koi, занимающейся IT-безопасностью, раскрыла операцию, в ходе которой хакеры проникли примерно на 4,3 миллиона компьютеров. Группа, которую Koi окрестила ShadyPanda, предположительно, из Китая. В любом случае, украденные данные оказались на серверах в Поднебесной.
Группировка ShadyPanda в течение семи лет выпускала, казалось бы, безобидные дополнения для Google Chrome и Microsoft Edge. Лишь спустя годы они внедрили вредоносное ПО в обновления. Используя эту тактику, хакеры обошли стандарты безопасности Google и Microsoft. Поставщики проверяли соответствующие программы только при их первоначальном выпуске. После добавления в магазин расширений, по-видимому, они больше не проверялись.
По словам Koi, после того, как Shadypanda разместила изначально безобидные дополнения в магазинах, они атаковали компьютеры в несколько этапов. В 2023 году они начали со 145 вредоносных расширений, скрытых в обоях или приложениях для повышения производительности. Каждый раз, когда пользователи, зараженные вредоносным ПО, совершали покупки на онлайн-магазинах, преступники получали комиссию.
На втором этапе Shadypanda действовала смелее, не только собирая комиссию в фоновом режиме, но и активно получая доступ к браузерам жертв. Расширение Infinity V+ активировало вредоносный код, который регистрировал и продавал результаты поиска. Поисковые запросы перенаправлялись на известный браузерный хайджекер Trovi.com.
На третьем этапе хакеры превратили расширения, многие из которых были доступны в магазинах приложений с 2018 года, во вредоносные. Одним из таких расширений было Clean Master. Его загрузили более 200 000 раз в 2024 году. В общей сложности жертвами мошенничества стали 300 000 ничего не подозревающих пользователей.
По данным Koi, четвёртый этап атаки затронул четыре миллиона ПК. Издатель, стоящий за Clean Master, разместил в магазине Microsoft Edge пять подменённых расширений. Среди них — надстройка для повышения производительности WeTab, загруженная три миллиона раз. Вредоносный код, скрытый в WeTab, собирает данные пользователей, такие как посещённые URL-адреса, и отправляет их на 17 различных доменов.
