Extensii de browser malware au devenit o amenințare tot mai evidentă în zona de securitate cibernetică, iar ultimele investigaţii ale Koi Security confirmă existenţa unui fenomen numit „extensii sleeper”. Aceste add‑onuri par legitime ani de zile, apoi se transformă printr-un update ulterior în malware capabil să spioneze utilizatorii. Campania ShadyPanda, cu peste patru milioane de descărcări, ilustrează perfect riscul extensiilor de browser compromise.
Campania ShadyPanda: cum a evoluat un add‑on legitim în malware
Prima etapă a campaign‑ului a constat în lansarea a 145 de extensii aparent inofensive, prezentate ca wallpaper‑uri și instrumente de productivitate. În această fază, extensiile injectau coduri de afiliere și redirecționau utilizatorii către site‑uri comerciale, fără să compromită date sensibile. În 2018, cinci dintre ele – printre care și Clean Master – au primit actualizări care au activat funcţiile de spyware, transformându‑le în malware în extensii de browser.
Actualizarea din 2024 a activat module de comandă și control, permițând extensiilor să monitorizeze tab‑urile, formularele și istoricul de navigare. Ele au putut trimite informațiile colectate către servere externe și au manipulat rezultatele căutărilor. Chrome a eliminat aceste extensii, însă atacatorii au reluat activitatea pe Microsoft Edge, unde alte cinci extensii au fost încărcate în 2023, două dintre ele funcționând ca spyware complet.
Extensii sleeper: de ce sunt greu de detectat în securitatea cibernetică
Extensiile sleeper acționează normal în primele luni, obținând recenzii pozitive și un număr mare de instalări. Această perioadă îi permite să evite sistemele de detecție și să câștige încrederea utilizatorilor. Ati‑fișând cod malware ulterior, ele pot exploata accesul profund în browser, ocolind multe dintre măsurile de protecție la nivel de sistem de operare.
Capabilitățile codului malițios includ: înregistrarea tastărilor în formulare, accesul la parole, manipularea rezultatelor de căutare, injectarea de reclame frauduloase și redirecționarea traficului către site‑uri controlate de atacatori. Aceste acțiuni evidențiază pericolul extensiilor de browser pentru confidențialitatea online.
Măsuri de verificare și protecție a utilizatorilor
În Chrome, accesaţi chrome://extensions/, activaţi Developer Mode și comparaţi ID‑urile extensiilor cu lista publicată de Koi Security. În Edge, procedura este identică, utilizând edge://extensions/. Eliminarea rapidă a unui add‑on suspect stopă colectarea de date.
Pentru a preveni instalarea unor extensii compromise, respectaţi următoarele recomandări:
- verificaţi numele extensiei pentru posibile imitaţii;
- analizaţi descrierea şi corectitudinea limbajului;
- evitaţi extensiile cu recenzii masive într‑un interval scurt;
- căutaţi opinii pe forumuri ca Reddit sau Google;
- instalaţi doar extensii cu surse oficiale şi istoric vizibil al dezvoltatorului.
Extensiile sleeper reprezintă una dintre cele mai insidioase forme de malware în domeniul securitate cibernetică, demonstrând că un add‑on verificat astăzi nu garantează siguranța de mâine. Informarea continuă și monitorizarea periodică a extensiilor de browser rămân esențiale pentru protecția datelor personale.
