Raport KOI: WeTab și Infinity V+ au deturnat browsere și colectat date

WeTab și Infinity V+ au intrat sub lupa experților în securitate cibernetică, după ce specialiștii au spus că aceste extensii — alături de câteva altele pentru Chrome — ar fi deturnat pe ascuns browsere și ar fi cules date sensibile ani la rând. Potrivit KOI, aproximativ 4,3 milioane de utilizatori de Chrome și Microsoft Edge au fost prinși în această campanie, care nu a mizat pe phishing sau inginerie socială, ci pe actualizări silențioase aplicate unor add‑on‑uri deja populare.

KOI atribuie operațiunea unui grup pe care îl numește ShadyPanda. Tactica a fost pragmatică, aproape dezarmantă: mai întâi publici extensii perfect funcționale, strângi public, recenzii și descărcări, apoi, în timp, strecori actualizări cu cod malițios. Pentru că magazinele de extensii sunt mai atente la momentul lansării decât la modificările ulterioare, un instrument care pare de încredere poate rămâne multă vreme sub radar. Un joc al răbdării care exploatează o zonă oarbă bine cunoscută.

Raportul KOI descrie mai multe incidente, inclusiv două campanii din 2023. În prima, zeci de extensii prezentate drept colecții de imagini de fundal sau mici utilitare ar fi urmărit comportamentul utilizatorilor și ar fi modificat conținutul paginilor pe eBay, Amazon și Booking.com, injectând taguri de afiliere și trackere pentru a monetiza achizițiile și datele de trafic. În a doua, funcțiile malițioase au fost legate de Infinity V+: extensia ar fi redirecționat căutările către o resursă externă, ar fi capturat cookie‑uri, ar fi înregistrat ce tastează oamenii în bara de căutare și ar fi exfiltrat datele către servere din afară.

KOI mai descrie un „prim stagiu” în care cinci extensii au primit un backdoor ce permite execuție de cod de la distanță, afectând aproximativ 300.000 de utilizatori. Unele erau listate încă din 2018–2019 și purtau chiar însemne care sugerau că sunt recomandate; la mijlocul lui 2024, după ce instalările au crescut, ar fi primit o actualizare care a adăugat backdoor‑ul. Modulul putea prelua regulat comenzi, descărca JavaScript arbitrar, îl rula cu privilegii ale API‑ului de browser și injecta conținut HTTPS malițios în orice site. În paralel, culegea istoricul de navigare, referrer‑ele, marcajele de timp, identificatori persistenți, o amprentă completă a browserului și alte date, încercând să fie discret când era activat modul pentru dezvoltatori.

Cea mai amplă parte a cercetării vizează un „al doilea stagiu”. KOI spune că alte cinci extensii ale aceluiași dezvoltator au ajuns în magazinul Edge și au depășit laolaltă 4 milioane de instalări, iar două ar fi putut iniția instalarea de malware. Noua filă WeTab a atras cel mai mult atenția: i se atribuie circa 3 milioane de instalări și trimiterea pe ascuns de telemetrie — de la URL‑urile vizitate, rezultatele căutărilor și clicurile mouse‑ului la amprenta browserului, interacțiunile din pagină și evenimentele de accesare a stocării. Datele, susține KOI, erau canalizate prin numeroase domenii, iar mecanismul de actualizare făcea ca browserele compromise să poată fi transformate oricând în noduri controlabile pentru atacuri ulterioare.

Toate acestea arată cât de fragil este, de fapt, modelul de încredere din jurul extensiilor: chiar și un add‑on popular și bine notat își poate schimba caracterul după o actualizare. Recomandarea e prozaică, dar valabilă: verificați extensiile instalate, ștergeți ce nu vă trebuie, analizați cu atenție permisiunile și, dacă browserul începe să se poarte ciudat, rulați o verificare a sistemului și schimbați parolele, mai ales dacă o extensie ar fi putut accesa cookie‑urile și istoricul de navigare.