KOI zjistila, že rozšíření WeTab a Infinity V+ po aktualizacích sbírala data a měnila vyhledávání v Chrome a Edge. Za kampaní stojí ShadyPanda. Jak se chránit?
© RusPhotoBank
WeTab a Infinity V+ se ocitly pod drobnohledem poté, co odborníci na kyberbezpečnost upozornili, že tato a několik dalších rozšíření pro Chrome mohly roky potají ovládat prohlížeče a sbírat citlivá data. Podle KOI se kampaň dotkla zhruba 4,3 milionu uživatelů Chrome a Microsoft Edge. Nešlo o phishing ani o sociální inženýrství, ale o nenápadné aktualizace už populárních doplňků.
KOI přisuzuje operaci skupině označované jako ShadyPanda. Scénář byl prostý, a právě tím zrádný: zveřejnit plně funkční rozšíření, postupně nasbírat publikum, hodnocení a instalace, a pak v tichosti protlačit aktualizace se škodlivým kódem. Protože obchody s rozšířeními obvykle pečlivě kontrolují hlavně první verzi a následné změny už méně, nástroje působící důvěryhodně mohou dlouho nepřitahovat pozornost. Je to hra na trpělivost, která využívá známé slepé místo.
Zpráva KOI popisuje několik incidentů, včetně dvou kampaní v roce 2023. V té první desítky doplňků tvářících se jako balíčky tapet či užitečné pomůcky údajně sledovaly chování uživatelů a měnily obsah stránek na webech jako eBay, Amazon či Booking.com – vkládaly affiliate tagy a trackery, aby zpeněžily nákupy a data o návštěvnosti. V druhé epizodě byly škodlivé funkce spojeny s rozšířením Infinity V+: přesměrovávalo vyhledávání na externí zdroj, zachytávalo cookies, zaznamenávalo, co lidé píší do vyhledávacího pole, a odesílalo data na vzdálené servery.
KOI zároveň popisuje „první fázi“, v níž pět rozšíření dostalo zadní vrátka umožňující vzdálené spouštění kódu, což zasáhlo asi 300 tisíc uživatelů. Některé doplňky byly v seznamu už od let 2018–2019 a nesly i odznaky naznačující doporučení; v polovině roku 2024, po nárůstu instalací, podle zjištění přišla aktualizace přidávající tato zadní vrátka. Modul dokázal pravidelně stahovat příkazy, načítat libovolný JavaScript, spustit ho s oprávněními API prohlížeče a vkládat škodlivý obsah přes HTTPS do libovolného webu. Zároveň sbíral historii prohlížení, referrery, časová razítka, perzistentní identifikátory, kompletní otisk prohlížeče a další data a pokoušel se zůstávat nenápadný, pokud byl aktivní režim pro vývojáře.
Nejrozsáhlejší část výzkumu se soustředí na „druhou fázi“. KOI uvádí, že dalších pět rozšíření od stejného vývojáře proniklo do obchodu pro Edge a dohromady překročilo 4 miliony instalací; dvě z nich mohla potenciálně spouštět instalaci malwaru. Největší pozornost přitáhlo rozšíření nové karty WeTab: připisuje se mu asi 3 miliony instalací a skryté odesílání telemetrie, včetně navštívených URL, výsledků vyhledávání, kliknutí myší, otisku prohlížeče, interakcí na stránce a událostí souvisejících s přístupem k úložišti. Data, uvádí KOI, proudila přes řadu domén a díky aktualizačnímu mechanismu se z kompromitovaných prohlížečů mohly kdykoli stát ovladatelné uzly pro další útoky.
Celý případ odhaluje, jak křehký je model důvěry kolem rozšíření: i populární a dobře hodnocený doplněk se může po aktualizaci zásadně změnit. Praktická rada je prostá a přesto důležitá — zkontrolujte nainstalovaná rozšíření, odstraňte ta zbytečná, pečlivě projděte požadovaná oprávnění a pokud se prohlížeč chová podezřele, spusťte kontrolu systému a změňte hesla, zvlášť pokud měl doplněk přístup ke cookies a historii prohlížení.