Специалисты агентства Koi Security раскрыли масштабную вредоносную операцию, охватившую 8,8 миллиона пользователей по всему миру и продолжавшуюся более семи лет. Ответственность за атаки возлагается на китайскую группировку, отслеживаемую под именем DarkSpectre. Злоумышленники использовали сложную инфраструктуру, состоящую из трех различных кампаний, нацеленных на кражу данных и корпоративный шпионаж через браузерные расширения. Атрибуция подтверждается использованием командных серверов (C2), размещенных на Alibaba Cloud, и регистрацией ICP в китайской провинции Хубэй. В коде обнаружены комментарии на китайском языке, а мошеннические действия были специфически направлены на платформы электронной коммерции, такие как и Taobao.
Стратегия DarkSpectre основывалась на «фазе построения доверия». Хакеры поддерживали легитимную работу расширений в течение многих лет, накапливая пользовательскую базу и положительные отзывы, прежде чем превратить ПО в оружие с помощью обновлений. Первая кампания, получившая название ShadyPanda, затронула 5,6 миллиона пользователей Google Chrome, Microsoft Edge и Mozilla Firefox. В этом кластере было выявлено более 100 расширений, из которых 9 остаются активными, а 85 находятся в статусе «спящих», ожидая вредоносных команд. Примечательно, что в некоторых случаях вредоносные обновления внедрялись спустя более пяти лет после выпуска. Особую опасность представляет расширение для Edge «New Tab – Customized Dashboard», содержащее логическую бомбу: оно активирует вредоносное поведение только через три дня после установки, чтобы обойти периоды проверки.
Вторая кампания, GhostPoster, была нацелена преимущественно на пользователей Mozilla Firefox, маскируясь под утилиты и VPN-инструменты. Ключевым открытием в этом сегменте стало расширение для Opera под названием «Google Translate» от разработчика «charliesmithbons», которое набрало почти миллион установок. Полезной нагрузкой здесь служил вредоносный JavaScript-код, предназначенный для перехвата партнерских ссылок, внедрения кодов отслеживания, а также совершения клик-фрода и рекламного мошенничества.
Третья и наиболее опасная кампания, известная как The Zoom Stealer, напрямую приписывается DarkSpectre и затронула 2,2 миллиона пользователей. Было идентифицировано 18 расширений для Chrome, Edge и Firefox, которые функционировали как инфраструктура корпоративного шпионажа. Эти инструменты имитировали ПО для видеоконференций и запрашивали доступ к более чем 28 платформам, включая Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams и Zoom. Исследователи Туваль Адмони и Галь Хахамов из Koi Security установили, что эксфильтрация данных происходила в реальном времени через соединение WebSocket. Скрипты активировались, когда пользователь посещал страницу регистрации вебинара или ссылку на встречу.
Механизм кражи данных позволял злоумышленникам получать URL-адреса встреч со встроенными паролями, идентификаторы, темы, описания и время проведения мероприятий. Более того, похищались детальные сведения об участниках: имена, должности, биографии, фотографии профилей и принадлежность к компаниям, а также корпоративные активы, такие как логотипы и рекламная графика. Конечной целью операции была продажа собранной информации другим злоумышленникам, использование данных для социальной инженерии и проведение крупномасштабных операций по выдаче себя за других лиц.
Список скомпрометированных расширений для Google Chrome включает следующие наименования и идентификаторы: Chrome Audio Capture (ID: kfokdmfpdnokpmpbjhjbcabgligoelgp), ZED: Zoom Easy Downloader (ID: pdadlkbckhinonakkfkdaadceojbekep), X (Twitter) Video Downloader (ID: akmdionenlnfcipmdhbhcnkighafmdha), Google Meet Auto Admit (ID: pabkjoplheapcclldpknfpcepheldbga), Always Show "Join From Web" (ID: aedgpiecagcpmehhelbibfbgpfiafdkm), Timer for Google Meet (ID: dpdgjbnanmmlikideilnpfjjdbmneanf), CVR: Chrome Video Recorder (ID: kabbfhmcaaodobkfbnnehopcghicgffo) и GoToWebinar & GoToMeeting Download Recordings (ID: cphibdhgbdoekmkkcbbaoogedpfibeme).
Дополнительно в Google Chrome были заражены: Meet auto admit (ID: ceofheakaalaecnecdkdanhejojkpeai), Google Meet Tweak (Emojis, Text, Cam Effects) (ID: dakebdbeofhmlnmjlmhjdmmjmfohiicn), Mute All on Meet (ID: adjoknoacleghaejlggocbakidkoifle), Google Meet Push-To-Talk (ID: pgpidfocdapogajplhjofamgeboonmmj), Photo Downloader for Ф⃰, И⃰, + (ID: ifklcpoenaammhnoddgedlapnodfcjpn), Zoomcoder Extension (ID: ebhomdageggjbmomenipfbhcjamfkmbl) и Auto-join for Google Meet (ID: ajfokipknlmjhcioemgnofkpmdnbaldi).
Угроза распространилась и на другие браузеры. Для Microsoft Edge, помимо упомянутого выше «New Tab – Customized Dashboard», было выявлено вредоносное расширение Edge Audio Capture (ID: mhjdjckeljinofckdibjiojbdpapoecj). В браузере Mozilla Firefox обнаружены расширения Twiter X Video Downloader (ID: {7536027f-96fb-4762-9e02-fdfaedd3bfb5}) и x-video-downloader, опубликованные пользователем «invaliddejavu». Пользователям Opera следует обратить особое внимание на расширение Google Translate от издателя «charliesmithbons».
Изображение носит иллюстративный характер
Стратегия DarkSpectre основывалась на «фазе построения доверия». Хакеры поддерживали легитимную работу расширений в течение многих лет, накапливая пользовательскую базу и положительные отзывы, прежде чем превратить ПО в оружие с помощью обновлений. Первая кампания, получившая название ShadyPanda, затронула 5,6 миллиона пользователей Google Chrome, Microsoft Edge и Mozilla Firefox. В этом кластере было выявлено более 100 расширений, из которых 9 остаются активными, а 85 находятся в статусе «спящих», ожидая вредоносных команд. Примечательно, что в некоторых случаях вредоносные обновления внедрялись спустя более пяти лет после выпуска. Особую опасность представляет расширение для Edge «New Tab – Customized Dashboard», содержащее логическую бомбу: оно активирует вредоносное поведение только через три дня после установки, чтобы обойти периоды проверки.
Вторая кампания, GhostPoster, была нацелена преимущественно на пользователей Mozilla Firefox, маскируясь под утилиты и VPN-инструменты. Ключевым открытием в этом сегменте стало расширение для Opera под названием «Google Translate» от разработчика «charliesmithbons», которое набрало почти миллион установок. Полезной нагрузкой здесь служил вредоносный JavaScript-код, предназначенный для перехвата партнерских ссылок, внедрения кодов отслеживания, а также совершения клик-фрода и рекламного мошенничества.
Третья и наиболее опасная кампания, известная как The Zoom Stealer, напрямую приписывается DarkSpectre и затронула 2,2 миллиона пользователей. Было идентифицировано 18 расширений для Chrome, Edge и Firefox, которые функционировали как инфраструктура корпоративного шпионажа. Эти инструменты имитировали ПО для видеоконференций и запрашивали доступ к более чем 28 платформам, включая Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams и Zoom. Исследователи Туваль Адмони и Галь Хахамов из Koi Security установили, что эксфильтрация данных происходила в реальном времени через соединение WebSocket. Скрипты активировались, когда пользователь посещал страницу регистрации вебинара или ссылку на встречу.
Механизм кражи данных позволял злоумышленникам получать URL-адреса встреч со встроенными паролями, идентификаторы, темы, описания и время проведения мероприятий. Более того, похищались детальные сведения об участниках: имена, должности, биографии, фотографии профилей и принадлежность к компаниям, а также корпоративные активы, такие как логотипы и рекламная графика. Конечной целью операции была продажа собранной информации другим злоумышленникам, использование данных для социальной инженерии и проведение крупномасштабных операций по выдаче себя за других лиц.
Список скомпрометированных расширений для Google Chrome включает следующие наименования и идентификаторы: Chrome Audio Capture (ID: kfokdmfpdnokpmpbjhjbcabgligoelgp), ZED: Zoom Easy Downloader (ID: pdadlkbckhinonakkfkdaadceojbekep), X (Twitter) Video Downloader (ID: akmdionenlnfcipmdhbhcnkighafmdha), Google Meet Auto Admit (ID: pabkjoplheapcclldpknfpcepheldbga), Always Show "Join From Web" (ID: aedgpiecagcpmehhelbibfbgpfiafdkm), Timer for Google Meet (ID: dpdgjbnanmmlikideilnpfjjdbmneanf), CVR: Chrome Video Recorder (ID: kabbfhmcaaodobkfbnnehopcghicgffo) и GoToWebinar & GoToMeeting Download Recordings (ID: cphibdhgbdoekmkkcbbaoogedpfibeme).
Дополнительно в Google Chrome были заражены: Meet auto admit (ID: ceofheakaalaecnecdkdanhejojkpeai), Google Meet Tweak (Emojis, Text, Cam Effects) (ID: dakebdbeofhmlnmjlmhjdmmjmfohiicn), Mute All on Meet (ID: adjoknoacleghaejlggocbakidkoifle), Google Meet Push-To-Talk (ID: pgpidfocdapogajplhjofamgeboonmmj), Photo Downloader for Ф⃰, И⃰, + (ID: ifklcpoenaammhnoddgedlapnodfcjpn), Zoomcoder Extension (ID: ebhomdageggjbmomenipfbhcjamfkmbl) и Auto-join for Google Meet (ID: ajfokipknlmjhcioemgnofkpmdnbaldi).
Угроза распространилась и на другие браузеры. Для Microsoft Edge, помимо упомянутого выше «New Tab – Customized Dashboard», было выявлено вредоносное расширение Edge Audio Capture (ID: mhjdjckeljinofckdibjiojbdpapoecj). В браузере Mozilla Firefox обнаружены расширения Twiter X Video Downloader (ID: {7536027f-96fb-4762-9e02-fdfaedd3bfb5}) и x-video-downloader, опубликованные пользователем «invaliddejavu». Пользователям Opera следует обратить особое внимание на расширение Google Translate от издателя «charliesmithbons».
