Скрытая сеть, стоящая за заражением 8,8 млн…

Исследователи кибербезопасности обнаружили одну из крупнейших задокументированных взломов расширений браузера в мире, приписываемую организованному злоумышленнику, известному как DarkSpectre, предположительно действующему из Китая. За более чем семь лет эта сеть успешно заразила более 8,8 миллионов пользователей браузеров Chrome, Edge, Firefox и Opera с помощью расширений, которые выглядели полностью законными и распространялись через официальные магазины браузеров, не вызывая подозрений.Добавить объявление

Согласно исследованию Koi.ai, группа проводит три взаимосвязанные кампании: ShadyPanda, GhostPoster и недавно выявленную кампанию под названием The Zoom Stealer, которые образуют единую стратегически скоординированную операцию.

Единая скоординированная операция, а не случайные атаки

Расследования показывают, что DarkSpectre — это не случайная хакерская группа, а единая операция, управляющая несколькими параллельными кампаниями. Он использует расширения с реальной функциональностью для привлечения пользователей и укрепления доверия, прежде чем впоследствии активировать вредоносное поведение. Эти расширения были не малоизвестными приложениями, а популярными инструментами, которыми пользователи пользовались ежедневно.

Структура DarkSpectre отличается от обычных операций по борьбе с киберпреступностью, поскольку она управляет отдельными, но взаимосвязанными кластерами вредоносного ПО, каждый из которых преследует определенные цели.

Кампания ShadyPanda, ответственная за около 5,6 миллиона заражений, фокусируется на долгосрочном мониторинге пользователей и мошенничестве с партнерским маркетингом в электронной коммерции.

Его расширения в течение многих лет казались легитимными, предлагая новые вкладки и инструменты перевода, а затем тайно загружали вредоносные конфигурации с серверов управления и контроля, таких как jt2x.com и infinitynewtab.com.

ShadyPanda опиралась на широко распространенные расширения производительности, включая инструменты перевода, менеджеры вкладок и страницы новых вкладок — примеры включают WeTab, несколько версий «Новая вкладка» и «Настраиваемая панель мониторинга», а также облегченные инструменты перевода, имитирующие известные сервисы.

Эти расширения нормально функционировали в течение многих лет, получая положительные оценки и значки «доверено», прежде чем начали собирать данные о просмотренных страницах, отслеживать поведение пользователей, манипулировать результатами поиска и осуществлять мошенничество с партнерскими ссылками, особенно на таких платформах, как Taobao и JD.com, без ведома пользователей.

GhostPoster: проникновение через изображения и расширения перевода

Кампания GhostPoster, которая затронула более 1 миллиона пользователей, использовала более скрытый подход через расширения Firefox и Opera. Одним из задокументированных примеров было расширение магазина Opera под названием Google™ Translate, опубликованное под неизвестной учетной записью разработчика и представлявшее собой простой инструмент перевода.

На самом деле расширение обходило защиту сайта, открывало скрытый канал для удаленных команд и отключало системы обнаружения мошенничества. Кампания скрывала вредоносный код внутри PNG-изображений, используемых в качестве значков расширений, которые впоследствии извлекались и выполнялись в браузере.

Zoom Stealer: инструменты для загрузки видео превратились в шпионское ПО

Самый опасный сдвиг произошел с кампанией The Zoom Stealer, охватившей около 2,2 миллиона пользователей. От мошенничества и мониторинга он превратился в прямой корпоративный шпионаж. Эта кампания охватила пользователей через, казалось бы, безобидные расширения, такие как Twitter X Video Downloader, загрузчики видео из социальных сетей и инструменты записи звука в браузере, такие как Chrome Audio Capture, у которого только было более 800 000 пользователей.

Хотя эти расширения выполняли заявленные функции, в фоновом режиме они собирали конфиденциальные данные с платформ виртуальных встреч, таких как Zoom, Microsoft Teams, Google Meet и WebEx. Собранные данные включали ссылки на встречи, идентификаторы сеансов, пароли, списки участников и подробную информацию о докладчиках и принимающих компаниях.

Долгосрочная стратегия и систематическое укрепление доверия

DarkSpectre полагается на скрытность и терпение, развертывая расширения, которые нормально работают в течение многих лет, прежде чем активировать их вредоносные возможности с помощью внешних команд без видимых обновлений. Расследования показывают, что десятки расширений, связанных с этой сетью, остаются активными и выглядят чистыми, а это означает, что они могут в любой момент превратиться в шпионское ПО или инструменты мошенничества.

Анализ показал, что инфраструктура передачи команд и данных опирается на серверы, расположенные в Китае, с программными комментариями и переменными на китайском языке, а модели активности соответствуют местному рабочему времени. Также наблюдается явный акцент на китайских платформах электронной коммерции, что подтверждает гипотезу о китайской связи.

Постоянная угроза и уязвимость магазина браузера

Случай с DarkSpectre демонстрирует критический недостаток в модели хранилища расширений браузера, где расширение проверяется только после публикации, но позже может изменить свое поведение с помощью внешних команд без эффективного контроля. В результате популярные расширения, такие как инструменты перевода, менеджеры вкладок и загрузчики видео, могут стать шлюзами для крупномасштабных взломов.

Эксперты по кибербезопасности предупреждают, что обнаруженное на данный момент может представлять собой лишь часть более крупной сети, в то время как миллионы пользователей продолжают ежедневно полагаться на расширения браузера, не осознавая стоящих за ними рисков.