恶意软件运作机制
高级威胁组织"ShadyPanda"通过长达七年的攻击活动,已成功感染430万Chrome和Edge浏览器用户。该组织利用用户对浏览器应用商店的信任,将"精选"和"已验证"扩展程序武器化,部署远程代码执行(RCE)后门并开展大规模间谍活动,且未触发传统安全警报。
调查显示,ShadyPanda采取长期潜伏策略而非立即攻击。该组织曾运营"Clean Master"等合法扩展程序多年,以此积累用户基础并获取谷歌与微软的信任认证。2024年中旬,在用户量达到30万后,他们推送了静默恶意更新,将扩展程序转变为每小时执行RCE的载体。受感染浏览器会每小时连接命令控制服务器(api.extensionplay[.]com),下载并执行具有完整浏览器权限的任意JavaScript代码。
大规模数据窃取
虽然RCE攻击精准,但ShadyPanda第四阶段攻击已形成工业化规模。微软Edge商店中包括热门扩展"WeTab"在内的五个活跃扩展,目前正被超过400万用户使用。与已下架的Chrome扩展不同,这些Edge插件仍在运行,持续收集完整的浏览器指纹、搜索查询和完整URL,并将数据传输至中国的服务器(包括百度及私有基础设施)。
该恶意软件能以像素级精度记录鼠标点击,实时窃取浏览历史,将企业和个人浏览器变为开放的监控设备。根据Koi Security报告,ShadyPanda恶意软件收集的具体数据包括:
| 数据类别 | 收集内容 | 攻击阶段 | 外传方式 |
|---|---|---|---|
| 浏览活动 | - 所有访问网站的完整URL历史- HTTP来源(显示导航起点)- 导航模式与时间戳 | 第三阶段(Clean Master)第四阶段(WeTab) | AES加密(第三阶段)实时传输(第四阶段) |
| 用户输入与搜索 | - 搜索引擎查询(Google、Bing等)- 实时按键记录(包括打字错误与修正)- 搜索前意图分析 | 第二阶段(Infinity V+)第四阶段(WeTab) | 未加密HTTP(第二阶段)传输至百度/WeTab服务器(第四阶段) |
| 设备指纹 | - User Agent字符串- 操作系统与平台- 屏幕分辨率与时区设置- 系统语言 | 第三/四阶段 | 用于构建抗追踪工具无法清除的唯一用户画像 |
| 行为生物特征 | - 鼠标点击坐标(X/Y位置)- 点击的具体页面元素- 滚动行为与深度- 页面停留时间 | 第四阶段(WeTab) | 高频日志发送至中国监控服务器 |
| 身份与存储数据 | - 持久性UUID4标识符(浏览器重启仍存在)- localStorage与sessionStorage内容- 浏览器Cookie(可劫持会话) | 第二/三/四阶段 | 直接传输至攻击者服务器 |
浏览器安全模型缺陷
ShadyPanda的成功暴露出浏览器安全模型的关键缺陷:信任机制是静态的,而代码是动态的。通过初始审核后,攻击者蛰伏多年才武器化自动更新通道,绕过了Chrome和Edge商店的主要防御机制。原本用于保障用户安全的自动更新功能,最终成为穿透企业防火墙的直接感染载体。