0 Троян годами маскировался под полезные инструменты, чтобы внезапно наброситься на пользователей Chrome и MS Edge Компьютеры более четырех миллионов пользователей Google Chrome и Microsoft Edge удалось заразить хакерам, которые зарабатывали репутацию полезных приложений и только после этого распространяли вредоносное обновление. 2025-12-02 13:57:03, Мск Семилетняя шпионская кампания Специалисты компании по кибербезопасности Koi обнаружили длившуюся семь лет деятельность вредоносных расширений для браузеров , заразивших 4,3 млн пользователей Google Chrome и Microsoft Edge, пишет Register. Группировка, получившая название ShadyPanda, маскировала свое ПО под инструменты повышения производительности, которые получали огромное количество скачиваний, а интернет -магазины популярных браузеров присваивали им статусы «Проверено» и «Избранное». Эта ситуация иллюстрируют проблему, которая заключается в том, что торговые площадки «не следят за тем, что происходит после одобрения», считают исследователи. freepik/dcstudio Рекомендованные Chrome и Edge полезные расширения для браузеров оказались шпионским ПО Многие расширения удалены из обоих магазинов, но « инфраструктура для полномасштабных атак по-прежнему развернута во всех зараженных браузерах», сообщили в Koi. Фишинг не нужен Злоумышленники не жалели времени на маскировку. Они публиковали легитимные расширения, накапливали сотни тысяч, а иногда и миллионы загрузок в течение нескольких лет, и только затем распространяли скрытое вредоносное обновление, которое автоматически устанавливалось среди всей пользовательской базы. «Никакого фишинга . Никакой социальной инженерии . Только доверенные расширения с незаметными обновлениями версий, которые превратили инструменты для повышения производительности в платформы для слежки », — прокомментировали эксперты Koi. Некоторые расширения ShadyPanda были выпущенные еще в 2018 г. Пять расширений для Edge от того же издателя вышли в 2023 г. и сейчас имеют суммарно более четырех млн установок. По словам представителей Koi, все пять все еще доступны в магазине приложений Edge: «Расширение уже имеет опасные разрешения, включая доступ ко всем URL-адресам и файлам cookie , пользователи скачивают их прямо сейчас». Истинные цели Вредоносное ПО позволяет полностью контролировать браузер, каждый час проверяя api.extensionplay[.]com на наличие новых инструкций, загружает произвольный JavaScript-код и выполняет его с полным доступом к API браузера. Оно также может внедрять вредоносный контент на любые веб-сайты, включая HTTPS-соединения . Украденные данные (каждый посещенный URL , поисковые запросы , отслеживание щелчков мыши, идентификационные данные браузера, данные о взаимодействии со страницами и полные отпечатки браузера) отправляются на серверы , контролируемые ShadyPanda и расположенные, как утверждают аналитики, в Китае . Кроме того, вредоносная программа содержит возможности антианализа и переключается в безопасный режим, если исследователь открывает инструменты разработчика. Специалисты Koi связывают ShadyPanda также с несколькими выявленными ранее хакерскими акциями. Одна из них произошла в 2023 г. и включала 20 расширений для Chrome Web Store и 125 расширений для Microsoft Edge , замаскированных под обои или приложения для повышения производительности. Она затронула площадки eBay , Amazon и Booking.com . Source: https://zoom.cnews.ru/soft/news/top/2025-12-02_hakery_godami_maskirovali