Глобальная кампания кибершпионажа DarkSpectre скомпрометировала миллионы браузеров в течение семи лет

Специалисты агентства Koi Security раскрыли масштабную вредоносную операцию, охватившую 8,8 миллиона пользователей по всему миру и продолжавшуюся более семи лет. Ответственность за атаки возлагается на китайскую группировку, отслеживаемую под именем DarkSpectre. Злоумышленники использовали сложную инфраструктуру, состоящую из трех различных кампаний, нацеленных на кражу данных и корпоративный шпионаж через браузерные расширения. Атрибуция подтверждается использованием командных серверов (C2), размещенных на Alibaba Cloud, и регистрацией ICP в китайской провинции Хубэй. В коде обнаружены комментарии на китайском языке, а мошеннические действия были специфически направлены на платформы электронной коммерции, такие как и Taobao.
Глобальная кампания кибершпионажа DarkSpectre скомпрометировала миллионы браузеров в течение семи лет
Изображение носит иллюстративный характер

Стратегия DarkSpectre основывалась на «фазе построения доверия». Хакеры поддерживали легитимную работу расширений в течение многих лет, накапливая пользовательскую базу и положительные отзывы, прежде чем превратить ПО в оружие с помощью обновлений. Первая кампания, получившая название ShadyPanda, затронула 5,6 миллиона пользователей Google Chrome, Microsoft Edge и Mozilla Firefox. В этом кластере было выявлено более 100 расширений, из которых 9 остаются активными, а 85 находятся в статусе «спящих», ожидая вредоносных команд. Примечательно, что в некоторых случаях вредоносные обновления внедрялись спустя более пяти лет после выпуска. Особую опасность представляет расширение для Edge «New Tab – Customized Dashboard», содержащее логическую бомбу: оно активирует вредоносное поведение только через три дня после установки, чтобы обойти периоды проверки.

Вторая кампания, GhostPoster, была нацелена преимущественно на пользователей Mozilla Firefox, маскируясь под утилиты и VPN-инструменты. Ключевым открытием в этом сегменте стало расширение для Opera под названием «Google Translate» от разработчика «charliesmithbons», которое набрало почти миллион установок. Полезной нагрузкой здесь служил вредоносный JavaScript-код, предназначенный для перехвата партнерских ссылок, внедрения кодов отслеживания, а также совершения клик-фрода и рекламного мошенничества.

Третья и наиболее опасная кампания, известная как The Zoom Stealer, напрямую приписывается DarkSpectre и затронула 2,2 миллиона пользователей. Было идентифицировано 18 расширений для Chrome, Edge и Firefox, которые функционировали как инфраструктура корпоративного шпионажа. Эти инструменты имитировали ПО для видеоконференций и запрашивали доступ к более чем 28 платформам, включая Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams и Zoom. Исследователи Туваль Адмони и Галь Хахамов из Koi Security установили, что эксфильтрация данных происходила в реальном времени через соединение WebSocket. Скрипты активировались, когда пользователь посещал страницу регистрации вебинара или ссылку на встречу.

Механизм кражи данных позволял злоумышленникам получать URL-адреса встреч со встроенными паролями, идентификаторы, темы, описания и время проведения мероприятий. Более того, похищались детальные сведения об участниках: имена, должности, биографии, фотографии профилей и принадлежность к компаниям, а также корпоративные активы, такие как логотипы и рекламная графика. Конечной целью операции была продажа собранной информации другим злоумышленникам, использование данных для социальной инженерии и проведение крупномасштабных операций по выдаче себя за других лиц.

Список скомпрометированных расширений для Google Chrome включает следующие наименования и идентификаторы: Chrome Audio Capture (ID: kfokdmfpdnokpmpbjhjbcabgligoelgp), ZED: Zoom Easy Downloader (ID: pdadlkbckhinonakkfkdaadceojbekep), X (Twitter) Video Downloader (ID: akmdionenlnfcipmdhbhcnkighafmdha), Google Meet Auto Admit (ID: pabkjoplheapcclldpknfpcepheldbga), Always Show "Join From Web" (ID: aedgpiecagcpmehhelbibfbgpfiafdkm), Timer for Google Meet (ID: dpdgjbnanmmlikideilnpfjjdbmneanf), CVR: Chrome Video Recorder (ID: kabbfhmcaaodobkfbnnehopcghicgffo) и GoToWebinar & GoToMeeting Download Recordings (ID: cphibdhgbdoekmkkcbbaoogedpfibeme).

Дополнительно в Google Chrome были заражены: Meet auto admit (ID: ceofheakaalaecnecdkdanhejojkpeai), Google Meet Tweak (Emojis, Text, Cam Effects) (ID: dakebdbeofhmlnmjlmhjdmmjmfohiicn), Mute All on Meet (ID: adjoknoacleghaejlggocbakidkoifle), Google Meet Push-To-Talk (ID: pgpidfocdapogajplhjofamgeboonmmj), Photo Downloader for Ф⃰, И⃰, + (ID: ifklcpoenaammhnoddgedlapnodfcjpn), Zoomcoder Extension (ID: ebhomdageggjbmomenipfbhcjamfkmbl) и Auto-join for Google Meet (ID: ajfokipknlmjhcioemgnofkpmdnbaldi).

Угроза распространилась и на другие браузеры. Для Microsoft Edge, помимо упомянутого выше «New Tab – Customized Dashboard», было выявлено вредоносное расширение Edge Audio Capture (ID: mhjdjckeljinofckdibjiojbdpapoecj). В браузере Mozilla Firefox обнаружены расширения Twiter X Video Downloader (ID: {7536027f-96fb-4762-9e02-fdfaedd3bfb5}) и x-video-downloader, опубликованные пользователем «invaliddejavu». Пользователям Opera следует обратить особое внимание на расширение Google Translate от издателя «charliesmithbons».


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка