TokyoBlackHatNews

koi.ai 19分で読了

430万台のブラウザが感染:ShadyPandaの7年間にわたるマルウェアキャンペーンの内幕

Koiの研究者は、ShadyPandaと呼ぶ脅威アクターを特定しました。このグループは430万台のChromeおよびEdgeユーザーに感染したブラウザ拡張機能キャンペーンを7年間実行してきました。

当社の調査は2つの活発な作戦を明かしました:

30万ユーザー向けのRCEバックドア:「Featured」と「Verified」のClean Masterを含む5つの拡張機能は、2024年半ばに合法的な運用年を経た後に武装化されました。これらの拡張機能は現在、毎時間遠隔コード実行を実行し、ブラウザへの完全なアクセス権を持つ任意のJavaScriptをダウンロードして実行しています。すべてのウェブサイト訪問を監視し、暗号化されたブラウジング履歴を流出させ、完全なブラウザフィンガープリントを収集しています。

400万ユーザー向けのスパイウェア操作:同じ発行者からの5つの追加拡張機能(単独で300万インストールを持つWeTabを含む)は、訪問されたすべてのURL、検索クエリ、マウスクリックを積極的に収集し、中国のサーバーにデータを送信しています。

ShadyPandaの一部の拡張機能はGoogleによってフィーチャーされ、認証されており、即座の信頼と大量配布を与えていました。7年間、このアクターはブラウザマーケットプレイスを武装化する方法を学びました。信頼を構築し、ユーザーを蓄積し、静かなアップデートを通じて攻撃しました。

Image

フェーズ1:壁紙の詐欺(145個の拡張機能)

ShadyPandaの最初のキャンペーンは単純でしたが規模が大きく、2023年に行われました。両方のマーケットプレイスで合計145個の拡張機能 – Chrome Web Storeで発行元nuggetsno15下の20個、Microsoft Edgeで発行元rocket Zhang下の125個。すべて壁紙またはプロダクティビティアプリに偽装されていました。

攻撃は単純なアフィリエイト詐欺でした。ユーザーがeBay、Amazon、またはBooking.comをクリックするたびに、ShadyPandaの拡張機能は静かにアフィリエイトトラッキングコードを注入しました。すべての購入で隠された手数料。拡張機能はまた、ブラウジングデータの収益化のためにGoogle Analyticsトラッキングを展開しました。すべてのウェブサイト訪問、検索クエリ、クリックパターンを記録して販売しました。

このフェーズは洗練されていませんでしたが、成功しました。ShadyPandaは3つの重要な教訓を学びました:

  • Chromeのレビュープロセスは初期提出に焦点を当て、継続的な行動には焦点を当てていない
  • ユーザーはインストール数が多い拡張機能と好意的なレビューを信頼する
  • 忍耐が報われる – 一部の拡張機能は検出されるまで数ヶ月間操作されました。合法的に見えている期間が長いほど、より多くのダメージを与えることができます。

フェーズ2:検索ハイジャックの進化

ShadyPandaはより大胆になりました。次の波は2024年初めで、受動的な収益化から能動的なブラウザコントロールへシフトしました。

Infinity V+拡張機能はこのフェーズを象徴しています。新しいタブプロダクティビティツールに偽装され、コアブラウザ機能をハイジャックしました:

検索リダイレクト:すべてのウェブ検索はtrovi.comを通じてリダイレクトされました。既知のブラウザハイジャッカーです。検索クエリが記録され、収益化され、販売されました。検索結果は利益のために操作されました。

クッキー流出:拡張機能は特定のドメインからクッキーを読み込み、トラッキングデータをnossl.dergoodting.comに送信しました。ブラウジング活動を監視するための一意の識別子を作成しました。すべて同意や開示なしで。

Image

検索クエリ収集:検索ボックスのすべてのキーストロークが外部サーバー(s-85283.gotocdn[.]comおよびs-82923.gotocdn[.]com)に送信されました。エンターキーを押す前のユーザーの関心のリアルタイムプロファイリング。拡張機能は部分的なクエリ、タイプミス、修正をキャプチャし、検索方法についての詳細なマップを構築します。すべて暗号化されていないHTTP接続で送信され、データが簡単に傍受して収益化されました。あなたが何を検索するかだけでなく、それをどのように検索することについて考えるか。

ShadyPandaは学習し、より積極的になっていました。しかし、彼らはまだ捕まっていました。拡張機能は展開から数週間または数ヶ月以内に報告および削除されました。

彼らはより良い戦略が必要でした。

フェーズ3:長期作戦

5つの拡張機能。3つは2018年から2019年にアップロードされました。200,000以上のインストールを持つClean Masterを含みます。すべては何年間も合法的に動作し、FeaturedおよびVerifiedステータスを獲得しました。

戦略:信頼を構築し、ユーザーを蓄積し、その後単一のアップデートを通じて武装化します。

武装化前に、ShadyPandaは配布を最適化するための隠密インストール追跡を展開しました。データ駆動型マルウェア開発。

2024年半ば:300,000以上のインストールを蓄積した後、ShadyPandaは悪意あるアップデートをプッシュしました。ChromeおよびEdgeの信頼できる自動更新メカニズムを通じた自動感染。5つの拡張機能はすべて同じマルウェアを実行しています。

Image

遠隔コード実行:毎時間の武器

感染した各ブラウザは遠隔コード実行フレームワークを実行しています。毎時間、api.extensionplay[.]comで新しい指示をチェックし、任意のJavaScriptをダウンロードし、ブラウザAPI への完全なアクセス権で実行します。

Image

これは固定機能を備えたマルウェアではありません。これはバックドアです。ShadyPandaが何をするかを決定します。今日は監視、明日はランサムウェア、認証情報盗難、または企業スパイ行為である可能性があります。更新メカニズムは自動的に、毎時間、永遠に実行されます。

完全なブラウザ監視

現在のペイロードはすべてのウェブサイト訪問を監視し、暗号化されたデータをShadyPandaのサーバーに流出させます:

Image

収集および流出されるもの:

  • 完全なブラウジング履歴を持つすべての訪問URL
  • ナビゲーションパターンを示すHTTPリファラー
  • アクティビティプロファイリングのためのタイムスタンプ
  • 永続的なUUID4識別子(chrome.storage.syncに保存、デバイス全体で生き残る)
  • 完全なブラウザフィンガープリント:ユーザーエージェント、言語、プラットフォーム、画面解像度、タイムゾーン
  • api.cleanmasters.storeに送信する前にAESで暗号化されたすべてのデータ

回避&攻撃機能

分析対策:研究者が開発者ツールを開くと、マルウェアはそれを検出し、良性の動作に切り替えます。コードは短い変数名を使用した重いオブフスケーション化を使用し、158KBのJavaScriptインタープリターを通じて実行してコンテンツセキュリティポリシーをバイパスします。

中間者攻撃:サービスワーカーはネットワークトラフィックを傍受および変更でき、合法的なJavaScriptファイルを悪意あるバージョンに置き換え、認証情報盗難、セッションハイジャック、HTTPS接続を含むあらゆるウェブサイトへのコンテンツ注入を可能にします。

ShadyPandaはこれらの機能を毎時間更新できます。拡張機能はマーケットプレイスから最近削除されましたが、大規模攻撃のためのインフラストラクチャはすべての感染したブラウザに展開されたままです。

フェーズ4:スパイウェア帝国(5個の拡張機能、400万以上のユーザー)

しかし、ShadyPandaの最大の操作はClean Masterではありませんでした。Edge でClean Masterの背後にある同じ発行元 – Starlab Technology – は、2023年頃にMicrosoft Edge で5つの追加拡張機能をロンチし、合計400万以上のインストール数を蓄積しました。

ここに問題があります:5つの拡張機能すべてがMicrosoft Edgeマーケットプレイスでまだライブです。フェーズ3の削除された拡張機能とは異なり、この400万ユーザーの監視操作は今アクティブです。

5つのうち2つは包括的なスパイウェアです。フラッグシップであるWeTab 新标签页(WeTab New Tab Page)は単独で300万インストールを持ち、プロダクティビティツールに偽装された高度な監視プラットフォームとして機能しています。

Image

包括的なデータ収集

WeTabは広範なユーザーデータを17の異なるドメイン(中国の8つのBaiduサーバー、中国の7つのWeTabサーバー、およびGoogle Analytics)に収集および流出させます:

Image

収集されるもの:

  • 訪問されたすべてのURL – リアルタイムで送信される完全なブラウジング履歴
  • すべての検索クエリ – ユーザーが検索する内容のキーストロークレベルの監視
  • ピクセルレベルの精度のマウスクリック追跡 – X/Y座標と要素識別
  • ブラウザフィンガープリンティング – 画面解像度、言語、タイムゾーン、ユーザーエージェント
  • ページインタラクションデータ – ページ上の時間、スクロール動作、アクティブな表示時間
  • ストレージアクセス – localStorage、sessionStorage を読み込み、すべてのクッキーにアクセス可能

フェーズ4はClean Master操作をはるかに上回っています:300,000対400万の感染したユーザー。拡張機能はMicrosoft Edgeマーケットプレイスでライブのままです。拡張機能はすべてのURLとクッキーへのアクセスを含む危険なアクセス許可を既に持っており、ユーザーが現在ダウンロードしています。ShadyPandaはいつでもアップデートをプッシュでき、フェーズ3と同じRCEバックドアフレームワークで400万台のブラウザを武装化するか、さらに悪いことをする可能性があります。インフラストラクチャは所定の位置にあります。アクセス許可は与えられています。更新メカニズムは自動的に機能します。

7年間の悪用

ShadyPandaの成功は単なる技術的な洗練ではありません。それは同じ脆弱性を7年間体系的に悪用することについてです。マーケットプレイスは提出時に拡張機能をレビューします。承認後に何が起こるかを監視しません。

これらのキャンペーンをすべて結びつけたもの:コード署名の類似性、重複するインフラストラクチャ、時間とともに進化する同一のオブフスケーション化技術。同じアクター。異なるマスク。各フェーズは前のフェーズから学びました。粗いアフィリエイト詐欺から忍耐強い5年間の操作まで。

自動更新メカニズム – ユーザーをセキュアに保つよう設計されたもの – が攻撃ベクトルになりました。ChromeおよびEdgeの信頼できる更新パイプラインはマルウェアをユーザーに静かに提供しました。フィッシングなし。ソーシャルエンジニアリングなし。プロダクティビティツールを監視プラットフォームに変えた信頼できる拡張機能と静かなバージョンバンプだけです。

ShadyPandaが次に何が起こるかを制御します:セッションハイジャック、認証情報収集、アカウント乗っ取り、侵害された開発者を通じた供給チェーン攻撃。企業の場合、感染した開発者ワークステーションは侵害されたリポジトリと盗まれたAPIキーを意味します。SaaSプラットフォーム、クラウドコンソール、内部ツールへのブラウザベースの認証は、すべてのログインがShadyPandaに見えることを意味します。拡張機能は従来のセキュリティコントロールをバイパスします。ShadyPandaは1年以上ネットワーク内にありました。

システム上の問題は単なる1つの悪意あるアクターではありません。セキュリティモデルがこの動作を奨励することです:

  1. 何か合法的なものを構築する
  2. レビューに合格し、信頼シグナル(インストール、レビュー、認証バッジ)を獲得する
  3. 大規模なユーザーベースを収集する
  4. アップデートを通じて武装化する
  5. 検出前に利益を得る

ShadyPandaはこれが機能することを証明しました。今、すべての洗練された脅威アクターはプレイブックを知っています。

最終的な考察

1つの忍耐強い脅威アクターと1つの教訓:信頼は脆弱性です。

ShadyPandaは、マーケットプレイスが7年前と同じ方法で拡張機能をレビューしていることを証明しました – 提出時の静的分析、承認後の信頼、継続的な監視なし。Clean Masterは5年間合法的に動作しました。静的分析はこれをキャッチしません。

このレポートはKoi Securityのリサーチチームによって作成されました。

私たちはこの瞬間のためにKoiを構築しました。マーケットプレイスから引き出すあらゆるもののための動作分析とリスク スコアリング。インストール後に拡張機能が何をするかを監視し、彼らが何であると主張するかではなく。

デモを予約する承認後に進化する脅威を動的監視がキャッチする方法を見てください。

IOCS

C&C ドメイン:

  • extensionplay[.]com
  • yearnnewtab[.]com
  • api.cgatgpt[.]net

流出ドメイン:

  • dergoodting[.]com
  • yearnnewtab[.]com
  • cleanmasters[.]store
  • s-85283.gotocdn[.]com
  • s-82923.gotocdn[.]com

Chrome拡張機能:

  • eagiakjmjnblliacokhcalebgnhellfi
  • ibiejjpajlfljcgjndbonclhcbdcamai
  • ogjneoecnllmjcegcfpaamfpbiaaiekh
  • jbnopeoocgbmnochaadfnhiiimfpbpmf
  • cdgonefipacceedbkflolomdegncceid
  • gipnpcencdgljnaecpekokmpgnhgpela
  • bpgaffohfacaamplbbojgbiicfgedmoi
  • ineempkjpmbdejmdgienaphomigjjiej
  • nnnklgkfdfbdijeeglhjfleaoagiagig
  • Mljmfnkjmcdmongjnnnbbnajjdbojoci
  • llkncpcdceadgibhbedecmkencokjajg
  • nmfbniajnpceakchicdhfofoejhgjefb
  • ijcpbhmpbaafndchbjdjchogaogelnjl
  • olaahjgjlhoehkpemnfognpgmkbedodk
  • gnhgdhlkojnlgljamagoigaabdmfhfeg
  • cihbmmokhmieaidfgamioabhhkggnehm
  • lehjnmndiohfaphecnjhopgookigekdk
  • hlcjkaoneihodfmonjnlnnfpdcopgfjk
  • hmhifpbclhgklaaepgbabgcpfgidkoei
  • lnlononncfdnhdfmgpkdfoibmfdehfoj
  • nagbiboibhbjbclhcigklajjdefaiidc
  • ofkopmlicnffaiiabnmnaajaimmenkjn
  • ocffbdeldlbilgegmifiakciiicnoaeo
  • eaokmbopbenbmgegkmoiogmpejlaikea
  • lhiehjmkpbhhkfapacaiheolgejcifgd
  • ondhgmkgppbdnogfiglikgpdkmkaiggk
  • imdgpklnabbkghcbhmkbjbhcomnfdige

Edge アドオン:

  • bpelnogcookhocnaokfpoeinibimbeff
  • enkihkfondbngohnmlefmobdgkpmejha
  • hajlmbnnniemimmaehcefkamdadpjlfa
  • aadnmeanpbokjjahcnikajejglihibpd
  • ipnidmjhnoipibbinllilgeohohehabl
  • fnnigcfbmghcefaboigkhfimeolhhbcp
  • nlcebdoehkdiojeahkofcfnolkleembf
  • fhababnomjcnhmobbemagohkldaeicad
  • nokknhlkpdfppefncfkdebhgfpfilieo
  • ljmcneongnlaecabgneiippeacdoimaa
  • onifebiiejdjncjpjnojlebibonmnhog
  • dbagndmcddecodlmnlcmhheicgkaglpk
  • fmgfcpjmmapcjlknncjgmbolgaecngfo
  • kgmlodoegkmpfkbepkfhgeldidodgohd
  • hegpgapbnfiibpbkanjemgmdpmmlecbc
  • gkanlgbbnncfafkhlchnadcopcgjkfli
  • oghgaghnofhhoolfneepjneedejcpiic
  • fcidgbgogbfdcgijkcfdjcagmhcelpbc
  • nnceocbiolncfljcmajijmeakcdlffnh
  • domfmjgbmkckapepjahpedlpdedmckbj
  • cbkogccidanmoaicgphipbdofakomlak
  • bmlifknbfonkgphkpmkeoahgbhbdhebh
  • ghaggkcfafofhcfppignflhlocmcfimd
  • hfeialplaojonefabmojhobdmghnjkmf
  • boiciofdokedkpmopjnghpkgdakmcpmb
  • ibfpbjfnpcgmiggfildbcngccoomddmj
  • idjhfmgaddmdojcfmhcjnnbhnhbmhipd
  • jhgfinhjcamijjoikplacnfknpchndgb
  • cgjgmbppcoolfkbkjhoogdpkboohhgel
  • afooldonhjnhddgnfahlepchipjennab
  • fkbcbgffcclobgbombinljckbelhnpif
  • fpokgjmlcemklhmilomcljolhnbaaajk
  • hadkldcldaanpomhhllacdmglkoepaed
  • iedkeilnpbkeecjpmkelnglnjpnacnlh
  • hjfmkkelabjoojjmjljidocklbibphgl
  • dhjmmcjnajkpnbnbpagglbbfpbacoffm
  • cgehahdmoijenmnhinajnojmmlnipckl
  • fjigdpmfeomndepihcinokhcphdojepm
  • chmcepembfffejphepoongapnlchjgil
  • googojfbnbhbbnpfpdnffnklipgifngn
  • fodcokjckpkfpegbekkiallamhedahjd
  • igiakpjhacibmaichhgbagdkjmjbnanl
  • omkjakddaeljdfgekdjebbbiboljnalk
  • llilhpmmhicmiaoancaafdgganakopfg
  • nemkiffjklgaooligallbpmhdmmhepll
  • papedehkgfhnagdiempdbhlgcnioofnd
  • glfddenhiaacfmhoiebfeljnfkkkmbjb
  • pkjfghocapckmendmgdmppjccbplccbg
  • gbcjipmcpedgndgdnfofbhgnkmghoamm
  • ncapkionddmdmfocnjfcfpnimepibggf
  • klggeioacnkkpdcnapgcoicnblliidmf
  • klgjbnheihgnmimajhohfcldhfpjnahe
  • acogeoajdpgplfhidldckbjkkpgeebod
  • ekndlocgcngbpebppapnpalpjfnkoffh
  • elckfehnjdbghpoheamjffpdbbogjhie
  • dmpceopfiajfdnoiebfankfoabfehdpn
  • gpolcigkhldaighngmmmcjldkkiaonbg
  • dfakjobhimnibdmkbgpkijoihplhcnil
  • hbghbdhfibifdgnbpaogepnkekonkdgc
  • fppchnhginnfabgenhihpncnphhafmac
  • ghhddclfklljabeodmcejjjlhoaaiban
  • bppelgkcnhfkicolffhlkbdghdnjdkhi
  • ikgaleggljchgbihlaanjbkekmmgccam
  • bdhjinjoglaijpffoamhhnhooeimgoap
  • fjioinpkgmlcioajfnncgldldcnabffe
  • opncjjhgbllenobgbfjbblhghmdpmpbj
  • cbijiaccpnkbdpgbmiiipedpepbhioel
  • fbbmnieefocnacnecccgmedmcbhlkcpm
  • hmbacpfgehmmoloinfmkgkpjoagiogai
  • paghkadkhiladedijgodgghaajppmpcg
  • bafbmfpfepdlgnfkgfbobplkkaoakjcl
  • kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
  • jelgelidmodjpmohbapbghdgcpncahki
  • lfgakdlafdenmaikccbojgcofkkhmolj
  • hdfknlljfbdfjdjhfgoonpphpigjjjak
  • kpfbijpdidioaomoecdbfaodhajbcjfl
  • fckphkcbpgmappcgnfieaacjbknhkhin
  • lhfdakoonenpbggbeephofdlflloghhi
  • ljjngehkphcdnnapgciajcdbcpgmpknc
  • ejfocpkjndmkbloiobcdhkkoeekcpkik
  • ccdimkoieijdbgdlkfjjfncmihmlpanj
  • agdlpnhabjfcbeiempefhpgikapcapjb
  • mddfnhdadbofiifdebeiegecchpkbgdb
  • alknmfpopohfpdpafdmobclioihdkhjh
  • hlglicejgohbanllnmnjllajhmnhjjel
  • iaccapfapbjahnhcmkgjjonlccbhdpjl
  • ehmnkbambjnodfbjcebjffilahbfjdml
  • ngbfciefgjgijkkmpalnmhikoojilkob
  • laholcgeblfbgdhkbiidbpiofdcbpeeo
  • njoedigapanaggiabjafnaklppphempm
  • fomlombffdkflbliepgpgcnagolnegjn
  • jpoofbjomdefajdjcimmaoildecebkjc
  • nhdiopbebcklbkpfnhipecgfhdhdbfhb
  • gdnhikbabcflemolpeaaknnieodgpiie
  • bbdioggpbhhodagchciaeaggdponnhpa
  • ikajognfijokhbgjdhgpemljgcjclpmn
  • lmnjiioclbjphkggicmldippjojgmldk
  • ffgihbmcfcihmpbegcfdkmafaplheknk
  • lgnjdldkappogbkljaiedgogobcgemch
  • hiodlpcelfelhpinhgngoopbmclcaghd
  • mnophppbmlnlfobakddidbcgcjakipin
  • jbajdpebknffiaenkdhopebkolgdlfaf
  • ejdihbblcbdfobabjfebfjfopenohbjb
  • ikkoanocgpdmmiamnkogipbpdpckcahn
  • ileojfedpkdbkcchpnghhaebfoimamop
  • akialmafcdmkelghnomeneinkcllnoih
  • eholblediahnodlgigdkdhkkpmbiafoj
  • ipokalojgdmhfpagmhnjokidnpjfnfik
  • hdpmmcmblgbkllldbccfdejchjlpochf
  • iphacjobmeoknlhenjfiilbkddgaljad
  • jiiggekklbbojgfmdenimcdkmidnfofl
  • gkhggnaplpjkghjjcmpmnmidjndojpcn
  • opakkgodhhongnhbdkgjgdlcbknacpaa
  • nkjomoafjgemogbdkhledkoeaflnmgfi
  • ebileebbekdcpfjlekjapgmbgpfigled
  • oaacndacaoelmkhfilennooagoelpjop
  • ljkgnegaajfacghepjiajibgdpfmcfip
  • hgolomhkdcpmbgckhebdhdknaemlbbaa
  • bboeoilakaofjkdmekpgeigieokkpgfn
  • dkkpollfhjoiapcenojlmgempmjekcla
  • emiocjgakibimbopobplmfldkldhhiad
  • nchdmembkfgkejljapneliogidkchiop
  • lljplndkobdgkjilfmfiefpldkhkhbbd
  • hofaaigdagglolgiefkbencchnekjejl
  • hohobnhiiohgcipklpncfmjkjpmejjni
  • jocnjcakendmllafpmjailfnlndaaklf
  • bjdclfjlhgcdcpjhmhfggkkfacipilai
  • ahebpkbnckhgjmndfjejibjjahjdlhdb
  • enaigkcpmpohpbokbfllbkijmllmpafm
  • bpngofombcjloljkoafhmpcjclkekfbh
  • cacbflgkiidgcekflfgdnjdnaalfmkob
  • ibmgdfenfldppaodbahpgcoebmmkdbac

翻訳元: https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign

ソース: koi.ai
#Chrome #Microsoft Edge #サイバー攻撃 #スパイウェア #セキュリティ脆弱性 #データ盗難 #ブラウザ拡張機能 #マルウェア #脅威インテリジェンス #遠隔コード実行

関連記事

Claudeがサイバー兵器となるときAI軍拡競争が始まった

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

目に見えないコードを使用した初の自己増殖ワーム、OpenVSXマーケットプレイスを襲う