Cyberkriminelle udnytter hemmelig kode, der i årevis har ligget passivt i millioner af browsere
Flere sikkerhedsforskere har nu dokumenteret, at tilsyneladende uskyldige browserudvidelser til Chrome og Edge i årevis har fungeret uden synlige tegn på risiko, mens de reelt indeholdt sovende kode, der først for nylig blev aktiveret. Denne tilgang viser en markant raffineret metode, hvor angribere opnår langsigtet adgang til brugernes systemer ved at opbygge troværdighed, før deres egentlige hensigt sættes i gang.
De nye oplysninger understreger et sårbart punkt i den måde, udvidelser godkendes og overvåges på, og viser, hvordan almindelige brugere og virksomheder kan blive mål for avancerede angreb uden forudgående advarsler. Det skriver Malwarebytes, The Register og Koi Research.
Udvidelser hentet over fire millioner gange
Ifølge Koi Research blev de berørte udvidelser samlet downloadet omkring 4,3 millioner gange, før den skjulte aktivitet blev afsløret i begyndelsen af december. Bag kampagnen menes at stå en kinesisk hackergruppe, identificeret som Shady Panda, som i årevis har udnyttet deres udvidelser til at opbygge en troværdig facade. Flere af udvidelserne leverede reel produktivitetsfunktionalitet og gav derfor brugerne indtryk af fuld legitimitet. De første versioner kan spores tilbage til 2018, hvor de blev distribueret uden tegn på ondsindet aktivitet.
Udvidelserne opnåede endda status som både anbefalet og verificeret hos Google og Microsoft, hvilket naturligt gav en betydelig autoritet over for brugerne. Denne tillid blev imidlertid senere udnyttet, da udviklerne bag kampagnen implementerede opdateringer, som ændrede udvidelsernes adfærd fra legitim til skadelig.
Funktionalitet ændret efter mange års legitim drift
Den anvendte metode bestod i at opdatere udvidelserne efter længere tids normal funktion, hvorved de skjulte bagdøre først aktiveredes i det øjeblik, angriberne vurderede, at tiden var rigtig. De nye versioner indeholdt funktioner designet til detaljeret overvågning af brugeraktivitet, herunder registrering af browserhistorik, musebevægelser, søgetermer og besøgte websteder. Disse handlinger blev gennemført uden brugerens viden og uden advarsel fra traditionelle sikkerhedsværktøjer.
Det mest indgribende element var installationen af bagdøre, der kunne bruges efter behov og dermed åbne for funktioner, som kunne tilpasses forskellige formål. Koi Research beskriver, hvordan Shady Panda gennem en automatisk opdateringsmekanisme, der kører kontinuerligt, kan beslutte, om udvidelserne skal bruges til overvågning, ransomware, identitetstyveri eller virksomhedsspionage. Opdateringsfrekvensen var ifølge Koi én gang i timen.
Kendte udvidelser involveret i kampagnen
Koi Research beskriver flere faser af kampagnen. En af de største involverede en udvidelse kaldet Clean Master, et værktøj markedsført som cache-renser, som havde flere hundrede tusinde downloads. Udvidelsen fungerede uden problemer i flere år, men blev ondsindet omkring midten af 2024.
Den hidtil største kampagne omfatter fem udvidelser, som blev aktive i 2023. Den mest downloadede var WeTab, en produktivitetsudvidelse med omkring tre millioner brugere. Ifølge Koi Research er denne kampagne stadig aktiv, og WeTab var fortsat tilgængelig i Chrome Web Store på tidspunktet for rapporteringen.
Tabel over anvendelsen af udvidelsernes funktioner
Nedenstående tabel viser de dokumenterede anvendelsesområder for de manipulerede udvidelser. Alle kolonner er venstrejusterede.
| Funktion | Anvendelse |
|---|---|
| Overvågning | Indsamling af browserdata, museklik, søgetermer og historik |
| Identitetstyveri | Udnyttelse af opsamlede data til kompromittering af personlige konti |
| Ransomware | Mulig fjernaktivering af skadelig kode med henblik på afpresning |
| Virksomhedsspionage | Indhentning af følsomme oplysninger og mønstre i professionelle systemer |
| Bagdørsadgang | Mulighed for at aktivere nye funktioner via løbende opdateringer |
Tillid som udnyttet svaghed i økosystemet
Koi Research anfører, at Shady Pandas metode ikke nødvendigvis kræver avanceret teknisk ekspertise, men derimod udnytter en grundlæggende strukturel sårbarhed. Evalueringen af udvidelser sker primært på tidspunktet for indsendelsen, mens efterfølgende opdateringer som regel ikke monitoreres med samme intensitet. Dette tillader udviklere at vente i årevis, før skadelig funktionalitet indsættes, uden at markedspladserne i praksis opdager det.
Ifølge Koi Research bygger kampagnens succes derfor ikke alene på teknisk kunnen, men på systematisk udnyttelse af en proces, der har været uændret i omkring syv år. Flere detaljer om undersøgelsen og de tekniske observationer fremgår af Koi Researchs gennemgang.
ICARE SECURITY A/S kan supplere med at metoden til at få legitime domæner, er at sætte sig på venteliste eller bestille domæner der udløber, som ejer koden de forskellige steder. Når de har denne beder de blot om nyt password og kan udskifte kode på f.eks. Google Play eller AppStore løbende, f.eks. kan disse APPS jf. Agil Udvikling A/S også sende brugere hen til en inficeret URL hvor der udsnyttes kendte sikkerheder.
Kilde: Jesper Christiansen, ICARE A/S, Malwarebytes, The Register, Koi Research
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner/#: #cyberkriminalitet, #browserudvidelser, #ShadyPanda, #Chrome, #Edge, #Malwarebytes, #TheRegister, #KoiResearch
Copyrights: Ⓒ 2025 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.
