Aggiornamenti recenti Dicembre 2nd, 2025 5:36 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
- CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi malware via SMS
- Ecco il tool gratuito per verificare se un IP fa parte di un botnet
- Gli LLM malevoli aiutano i piccoli cybercriminali, ma non sono (ancora) così pericolosi
ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
Una campagna durata sette anni che ha infettato 4.3 milioni di utenti Edge e Chrome: è il bilancio degli impatti di ShadyPanda, una campagna che ha colpito estensioni browser per installare backdoor ed eseguire codice da remoto.
L’indagine di Koi Security ha rivelato due operazioni principali: una Backdoor RCE che ha colpito 300.000 utenti e un’operazione spyware contro 4 milioni di utenti. I ricercatori hanno identificato cinque estensioni “militarizzate” a metà 2024 che eseguono codice arbitrario da remoto su base oraria, sfruttando il pieno accesso al browser. Altre cinque estensioni si occupano invece di collezionare ogni URL visitato, le query di ricerca e i click del mouse, trasmettendo poi questi dati a dei server in Cina.
“Alcune delle estensioni di ShadyPanda sono state segnalate e verificate da Google, garantendo fiducia immediata e distribuzione massiccia. Per sette anni, questo attore ha imparato a sfruttare i marketplace dei browser come arma, costruendo fiducia, accumulando utenti e colpendo con aggiornamenti silenziosi” hanno spiegato i ricercatori.
Le quattro fasi di ShadyPanda
Il team ha identificato quattro fasi principali della campagna attive più o meno a lungo negli ultimi sette anni. Un primo filone riguarda la “truffa degli sfondi”, una campagna molto massiccia, ma meno sofisticata degli altri flussi, avvenuta nel 2023. Si parla di 145 estensioni (20 su Chrome Web Store, 125 su Microsoft Edge) mascherate da app per sfondi o produttività. Le estensioni iniettavano silenziosamente codici di tracciamento affiliato ogni volta che l’utente visitava siti come eBay, Amazon o Booking.com, guadagnando commissioni nascoste su ogni acquisto. Gli attaccanti hanno usato il tracciamento di Google Analytics per registrare e vendere i dati di navigazione.
A inizio 2024 ShadyPanda è diventato più aggressivo ed è passato dalla monetizzazione passiva al controllo attivo del browser. In questo caso, le estensioni malevole reindirizzavano le ricerche verso un browser hijacker (trovi.com) per monetizzare e manipolare i risultati. Le estensioni leggevano i cookie da domini specifici per inviare dati di tracciamento, creando identificatori univoci per monitorare l’attività. Le stringhe digitate dall’utente nella barra di ricerca venivano inviata a server esterni per profilare in tempo reale degli interessi dell’utente.
Una terza fase della campagna è iniziata tra il 2018 e il 2019 quando cinque estensioni (tra le quali Clean Master che conta oltre 200.000 installazioni) sono state caricate e hanno cominciato a operare in modo legittimo, ottenendo lo status di “In Evidenza” e “Verificate” dai marketplace. In seguito, a metà del 2024 gli attaccanti hanno distribuito un aggiornamento malevolo a oltre 300.000 installazioni tramite il meccanismo di aggiornamento automatico di Chrome ed Edge. L’aggiornamento ha installato una backdoor sui browser che ha consentito agli attaccanti di scaricare ed eseguire JavaScript arbitrario con pieno accesso alle API del browser, per veicolare ransomware, sottrarre credenziali o per motivi di spionaggio. un meccanismo che consente potenzialment. Capacità: Si tratta di una backdoor completa. Sebbene il payload attuale sia la sorveglianza, l’attore può decidere in qualsiasi momento di trasformarlo in un veicolo per ransomware, furto di credenziali o spionaggio aziendale.
Infine, l’ultimo flusso è il più grande e ha coinvolto oltre 4 milioni di installazioni combinate. A differenza delle estensioni militarizzate della Fase 3 (che sono state rimosse), questa vasta operazione di sorveglianza da 4 milioni di utenti è attualmente ancora attiva nel marketplace di Microsoft Edge. L’estensione di punta di questa fase è WeTab 新标签页 (WeTab New Tab Page). Mascherata da strumento di produttività WeTab agisce come una sofisticata piattaforma di spyware che raccoglie numerose informazioni, comprese le query di ricerca, i movimenti del mouse, i dati di interazione con le pagine e i cookie.
Poiché le estensioni sono ancora attive, hanno già i permessi di accesso che servono per esfiltrare i dati. Questo significa che l’attore può sfruttare in qualsiasi momento il meccanismo di aggiornamento automatico per distribuire il framework di esecuzione remota di codice della Fase 3 o altri payload più pericolosi.
“Il successo di ShadyPanda non è solo una questione di sofisticazione tecnica. Si tratta piuttosto dello sfruttamento sistematico della stessa vulnerabilità per sette anni: i marketplace esaminano le estensioni al momento della presentazione, ma non controllano cosa succede dopo l’approvazione” hanno sottolineato i ricercatori di Koi Security. Insomma, la “fiducia” si è rivelata la vulnerabilità più grande.
Condividi l'articolo
- backdoor, Chrome, Edge, esfiltrazione dati, estensioni browser, estensioni browser malevole, ShadyPanda
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,... -
Ecco il tool gratuito per verificare se un IP fa parte di... GreyNoise ha recentemente annunciato il rilascio di... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo...
Ransomware: la serie
No posts found.