KOI paljasti WeTabin ja Infinity V+:n – selaimen kaappaus ja datankeruu Chrome- ja Edge-laajennuksissa

WeTab ja Infinity V+ ovat joutuneet tarkkaan syyniin, kun kyberturva-asiantuntijat kertoivat, että nämä ja useat muut Chrome-laajennukset ovat saattaneet kaapata selaimia ja kerätä arkaluonteista dataa huomaamatta vuosien ajan. KOI:n mukaan noin 4,3 miljoonaa Chrome- ja Microsoft Edge -käyttäjää päätyi kampanjan kohteeksi, eikä temppu perustunut tietojenkalasteluun tai sosiaaliseen manipulointiin, vaan hiljaisiin päivityksiin jo valmiiksi suosittuihin lisäosiin. Lukujen mittakaava pysäyttää.

KOI liittää operaation ryhmään, jota se kutsuu nimellä ShadyPanda. Taktiikka oli yllättävän suoraviivainen: julkaistiin täysin toimivia laajennuksia, kasvatettiin vähitellen yleisöä, arvosanoja ja latauksia, ja myöhemmin ujuttauduttiin sisään päivityksillä, jotka sisälsivät haitallista koodia. Koska laajennuskaupat tarkistavat julkaisut tyypillisesti tarkemmin alussa kuin myöhemmät muutokset, luotettavilta vaikuttaneet työkalut saattoivat viipyä rauhassa pitkään. Se on kärsivällisyyspeli, joka hyödyntää tuttua sokeaa pistettä.

KOI:n raportti kuvaa useita tapauksia, mukaan lukien kaksi kampanjaa vuodelta 2023. Ensimmäisessä kymmenet taustakuvapaketteina ja näppärinä apuohjelmina esiintyneet laajennukset seurasivat käyttäjien toimintaa ja muokkasivat sivujen sisältöä eBayssa, Amazonissa ja Booking.comissa ruiskuttamalla affiliate-tägejä ja seurantaa ostojen ja liikennetiedon rahastamiseksi. Toisessa jaksossa haitalliset toiminnot kytkeytyivät Infinity V+ -laajennukseen: se ohjasi hakuja ulkoiseen resurssiin, kaappasi evästeitä, kirjasi hakupalkkiin kirjoitetun ja siirsi tiedot ulkopuolisille palvelimille.

KOI kuvaa myös “ensimmäisen vaiheen”, jossa viisi laajennusta sai takaoven, joka mahdollisti etäkoodin suorittamisen ja vaikutti noin 300 000 käyttäjään. Osa näistä oli listattu jo vuosina 2018–2019 ja kantoi jopa suositeltu-merkintöjä; vuoden 2024 puolivälissä, kun asennusmäärät olivat nousseet, ne saivat väitetysti päivityksen, joka lisäsi takaoven. Moduuli saattoi säännöllisesti noutaa komentoja, ladata mielivaltaista JavaScriptiä, suorittaa sitä selaimen API-oikeuksilla ja injektoida haitallista HTTPS-sisältöä mille tahansa sivustolle. Se keräsi myös selaushistoriaa, viittaustietoja, aikaleimoja, pysyviä tunnisteita, täydellisen selaimen sormenjäljen ja muuta dataa, samalla pyrkien pitämään matalaa profiilia, jos kehittäjätila oli päällä.

Tutkimuksen laajin osuus keskittyy “toiseen vaiheeseen”. KOI kertoo, että samalta kehittäjältä peräisin olevat viisi laajennusta päätyi Edge-kauppaan ja keräsi yhteensä yli neljä miljoonaa asennusta, ja kahden epäillään voineen käynnistää haittaohjelman asennuksen. Uusi välilehti -laajennus WeTab keräsi eniten huomiota: sillä arvioidaan olevan noin kolme miljoonaa asennusta, ja sen kerrotaan lähettäneen huomaamatta telemetriaa — muun muassa vieraillut URL-osoitteet, hakutulokset, hiiren klikkaukset, selaimen sormenjäljen, sivulla tehdyt toimet ja tallennustilan käyttöön liittyvät tapahtumat. KOI:n mukaan dataa kuljetettiin lukuisien verkkotunnusten kautta, ja päivitysmekanismi tarkoitti, että vaarantuneet selaimet saatettiin muuttaa milloin tahansa ohjattaviksi solmuiksi jatkohyökkäyksiä varten.

Kaikki tämä paljastaa, kuinka hutera selainlaajennusten luottamusmalli on: suosittukin, hyvin arvioitu lisäosa voi päivityksen myötä vaihtaa luonnetta. Käytännön ohje on arkinen, mutta sen toistaminen on paikallaan — käy läpi asennetut laajennukset, poista turhat, tarkista käyttöoikeudet huolella ja jos selain alkaa käyttäytyä oudosti, suorita järjestelmätarkistus ja vaihda salasanat, etenkin jos laajennuksella on voinut olla pääsy evästeisiin ja selaushistoriaan. Varovaisuus on tässä halpaa vakuutusta omaa dataa vastaan.