Negli ultimi anni, la sicurezza dei browser è diventata un tema sempre più critico a causa dell’aumento delle minacce informatiche che sfruttano estensioni apparentemente innocue. Un caso eclatante è quello di ShadyPanda, un gruppo criminale che per sette anni ha condotto una vasta campagna di sorveglianza tramite estensioni browser, riuscendo a ottenere oltre 4,3 milioni di installazioni tra Chrome e Microsoft Edge. Queste estensioni, inizialmente lecite e addirittura verificate da Google, sono state modificate nel tempo per trasformarsi in veri e propri spyware.

La strategia di ShadyPanda

La strategia di ShadyPanda si è articolata in diverse fasi, partendo dall’iniziale pubblicazione di estensioni legittime, tra cui Clean Master, che godeva di grande fiducia tra gli utenti grazie anche al badge di verifica di Google. Successivamente, a partire dalla metà del 2024, sono stati introdotti aggiornamenti malevoli che hanno abilitato il download e l’esecuzione di codice JavaScript remoto con pieno accesso al browser. Questa tecnica ha permesso agli attaccanti di monitorare ogni sito web visitato, esfiltrare la cronologia di navigazione in formato cifrato e raccogliere dettagliate impronte digitali del browser.

Altre estensioni coinvolte

Un ulteriore gruppo di estensioni, sempre riconducibile alla stessa campagna, era progettato per tracciare ogni URL visitato, registrare le query sui motori di ricerca e le azioni dell’utente (come i clic del mouse), inviando tutti i dati verso server localizzati in Cina. Particolarmente significativa è l’estensione WeTab, da sola installata oltre tre milioni di volte.

Tecniche di attacco avanzate

Gli attacchi non si sono limitati alla semplice raccolta di dati: molte di queste estensioni erano in grado di avviare attacchi adversary-in-the-middle, facilitando il furto di credenziali, il dirottamento delle sessioni e l’iniezione di codice arbitrario in qualsiasi sito web visitato dalla vittima. Per eludere l’analisi, il codice malevolo era pesantemente offuscato e progettato per nascondere il proprio comportamento non appena veniva rilevata l’apertura degli strumenti di sviluppo del browser.

Il vettore di compromissione

Il vettore di compromissione principale è stato il meccanismo di auto-aggiornamento delle estensioni, normalmente pensato per mantenere sicuri gli utenti ma sfruttato in questo caso per distribuire silenziosamente malware a milioni di dispositivi, senza necessità di phishing o social engineering. Questo caso sottolinea come la revisione delle estensioni avvenga solo in fase di pubblicazione, lasciando un enorme spazio di manovra agli attaccanti per introdurre codice dannoso successivamente. Per chi avesse installato una di queste estensioni, la raccomandazione è di rimuoverle subito e cambiare le proprie credenziali.