Các nhà nghiên cứu cho biết, ShadyPanda tải lên các tiện ích mở rộng ngụy trang thành các tiện ích hợp pháp trong khoảng bảy năm qua, với hơn 4 triệu lượt tải xuống - một con số đáng báo động.

Vào năm 2023, tin tặc này phân phối 20 tiện ích mở rộng Chrome dưới tên “nuggetsno15” và 125 tiện ích mở rộng Edge sử dụng tên “Zhang”. Các tiện ích này được thiết kế để bí mật chèn mã độc, có khả năng theo dõi liên kết mỗi khi nạn nhân truy cập eBay, Amazon hoặc Booking.com.

Đầu năm 2024, ShadyPanda đã thay đổi chiến thuật, phát hành một tiện ích mở rộng giả dạng công cụ tăng hiệu suất tab mang tên Infinity V+, chuyển hướng các tìm kiếm trên web thông qua trình duyệt trovi.com.

Ngoài ra, kẻ tấn công còn sử dụng mã độc để đọc cookie của nạn nhân và gửi dữ liệu đến nossl[.]dergoodting[.]com, tạo ra các mã định danh duy nhất mà không có sự đồng ý hoặc sự hiểu biết của người dùng. Mã này cũng ghi lại dữ liệu người dùng nhập vào hộp tìm kiếm, phân tích sở thích của họ theo thời gian thực.

Trước đó, ShadyPanda đã tải năm tiện ích mở rộng hợp pháp lên cửa hàng chính thức, bao gồm ba tiện ích được phát hành từ năm 2018 đến năm 2019. Tất cả đều đạt trạng thái “Nổi bật” và “Đã xác minh” từ Google, trước khi kẻ tấn công lợi dụng chúng bằng bản cập nhật độc hại vào giữa năm 2024. Một trong số đó, Clean Master - đã có hơn 300.000 lượt cài đặt.

Bản cập nhật về cơ bản đã biến các tiện ích mở rộng thành một khung thực thi mã từ xa. Mỗi giờ, các tiện ích sẽ kiểm tra máy chủ bên ngoài để nhận hướng dẫn và thực thi mã JavaScript tùy ý, với quyền truy cập API trình duyệt đầy đủ.

“Đây không phải là phần mềm độc hại có chức năng cố định. Bản chất nó là một backdoor, ShadyPanda tự quyết định mình sẽ làm gì. Hôm nay là giám sát, ngày mai có thể là mã độc tống tiền, đánh cắp thông tin đăng nhập. Cơ chế cập nhật chạy tự động, hàng giờ và mỗi ngày”, Koi Security nhấn mạnh.

Các nhà nghiên cứu đã quan sát thấy các tiện ích mở rộng này thực thi một payload được thiết kế để trích xuất dữ liệu trình duyệt đến các máy chủ từ xa, có chức năng thu thập các URL đã truy cập, HTTP referrer, dấu thời gian, mã định danh UUID4 cố định và toàn bộ dấu vân tay trình duyệt, đồng thời mã hóa tất cả dữ liệu trước khi trích xuất.

Theo Koi Security, vào năm 2023, Starlab Technology - nhà phát hành Clean Master for Edge, đã tải lên thị trường Edge năm tiện ích mở rộng khác, bao gồm hai tiện ích là “phần mềm gián điệp toàn diện”. Một trong những tiện ích này có tên là WeTab New Tab Page, đã có hơn ba triệu lượt tải xuống, hoạt động như một nền tảng giám sát tinh vi và gửi dữ liệu người dùng đến 17 tên miền khác nhau.

Công ty an ninh mạng cho biết họ đã liên kết các chiến dịch dựa trên sự tương đồng về mã, cơ sở hạ tầng và các kỹ thuật che giấu đã quan sát được, vốn đã phát triển theo thời gian.

Người phát ngôn của Google xác nhận rằng các tiện ích mở rộng độc hại này không có trên Chrome Web Store. Trả lời câu hỏi của hãng tin SecurityWeek, người phát ngôn của Microsoft cho biết công ty không được thông báo về vấn đề này.

“Chúng tôi đã xóa tất cả các tiện ích mở rộng được xác định là độc hại trên cửa hàng tiện ích mở rộng Edge. Khi phát hiện các trường hợp vi phạm chính sách, chúng tôi sẽ thực hiện các biện pháp thích hợp, bao gồm nhưng không giới hạn ở việc xóa nội dung bị cấm hoặc chấm dứt thỏa thuận xuất bản”, đại diện gã khổng lồ công nghệ xác nhận.