4.3M Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign
6 months ago
- #browser-extensions
- #cybersecurity
- #malware
- 威胁行为体ShadyPanda持续运营长达七年的浏览器扩展恶意活动,已感染430万Chrome和Edge用户。
- 已识别两项活跃攻击行动:针对30万用户的远程代码执行后门,及针对400万用户的间谍软件行动。
- Clean Master、WeTab等扩展程序在多年合法运营后被武器化,用于收集浏览历史、搜索查询和鼠标点击数据。
- ShadyPanda采用先建立信任后武器化的策略,通过静默更新将合法扩展转为恶意工具。
- 四阶段攻击模式:壁纸欺诈(联盟作弊)→搜索劫持→长期信任培养→间谍软件帝国(大规模监控)。
- 扩展程序通过初期伪装合法通过审核,后续更新植入恶意代码绕过应用商店审查。
- 远程代码执行功能支持每小时更新攻击载荷,可实现监控、凭证窃取或勒索软件投放。
- 完整浏览器监控体系包含URL追踪、HTTP来源、时间戳、UUID4标识符及浏览器指纹收集。
- 规避技术包含反分析措施和中间人攻击能力。
- 微软Edge应用商店仍托管着ShadyPanda的活跃扩展,涉及400万用户。
- 系统性漏洞:应用商店仅在上架时审核扩展,缺乏持续行为监控机制。
- ShadyPanda利用用户对自动更新机制的信任实现恶意软件静默分发。
- Koi安全机构指出必须采用行为分析技术来识别审批后演变的威胁。