I ricercatori di Koi Security hanno scoperto una campagna malware, denominata ShadyPanda, che ha infettato oltre 4,3 milioni di utenti attraverso 145 estensioni per Edge e Chrome. Queste ultime sono state sfruttate come backdoor e spyware. Sia Microsoft che Google ha rimosso tutte le estensioni dai rispettivi store.
Campagna malware durata sette anni
La campagna malware è iniziata nel 2018. Negli ultimi sette anni sono state utilizzare 145 estensioni (125 per Edge e 20 per Chrome), tutte mascherate come wallpaper e app di produttività. Le prime attività sono state rilevate nel 2023. Lo scopo iniziale era ottenere guadagni tramite affiliazioni fasulle.
Quando l’ignaro utente visitava eBay, Amazon o Booking, le estensioni iniettavano cookie di tracciamento. I cybercriminali ricevevano quindi una commissione per ogni acquisto. All’inizio del 2024 è stata usata l’estensione Infinity V+ per incrementare i guadagni illeciti attraverso il redirecting delle ricerche web. Queste ultime sono state registrate e vendute.
Le estensioni potevano inoltre leggere i cookie, consentendo il tracciamento della navigazione. Sono state infine utilizzate per intercettare le query di ricerca e creare un profilo degli utenti. In seguito alla rimozione di alcune estensioni, i cybercriminali sono passati alla fase successiva.
Cinque estensioni per Edge e Chrome sono state aggiornate con un codice JavaScript che permetteva di accedere al browser da remoto. Il malware era in pratica una backdoor. I cybercriminali hanno esfiltrato cronologia, HTTP referrer, timestamp e informazioni del browser. Le estensioni potevano anche rubare le credenziali di login. Una di esse era Clean Master per Chrome con oltre 300.000 installazioni.
Una delle estensioni per Edge (WeTab con oltre 3 milioni di download) era uno spyware. Non solo registrava la cronologia di navigazione, ma anche tutte le query (keylogging), la posizione del mouse sullo schermo, le informazioni del browser (fingerprinting), le interazioni con le pagine web e tutti i cookie di sessione.
Microsoft e Google hanno rimosso tutte le estensioni. Gli utenti devono disinstallarle subito e cambiare le password di tutti gli account.