Cybernetyczni przestępcy działający pod szyldem grupy DarkSpectre prowadzili skoordynowane ataki na użytkowników najpopularniejszych przeglądarek internetowych przez ponad siedem lat. Firma zajmująca się bezpieczeństwem Koi Security ujawniła szczegóły trzech odrębnych kampanii, które łącznie zagrażały ponad 8,8 milionom osób na całym świecie.
Pierwsza z operacji, nazwana ShadyPanda, stanowiła bezpośrednie zagrożenie dla użytkowników Chrome, Edge i Firefoxa. Kampania ta dotknęła ponad 5,6 milionów ludzi, którzy nieświadomie instalowali pozornie legalne rozszerzenia do swoich przeglądarek. Po okresie obserwacji, który trwał nawet pięć lat, złośliwe rozszerzenia otrzymywały aktualizacje zawierające niebezpieczny kod. Ta metoda pozwalała hakerowi na ominięcie kontroli sklepów aplikacji, ponieważ dodatki początkowo działały bez żadnych anomalii.
Druga operacja, określana jako GhostPoster, skupiała się głównie na użytkownikach Firefoxa. Atakujący oferowali pozornie pożyteczne narzędzia i usługi VPN, które zawierały wstrzyknięty złośliwy kod JavaScript. Rozszerzenia te realizowały wiele destrukcyjnych działań, takich jak zmiana linków afiliacyjnych, wdrażanie systemów śledzenia aktywności użytkowników oraz przeprowadzanie oszustw związanych z klikami reklamowymi i manipulacją wynikami kampanii promocyjnych.
Trzecia kampania, The Zoom Stealer, reprezentowała najnowszą fazę ewolucji zagrożeń związanych z grupą DarkSpectre. Ta operacja obejmowała zarówno aktywne ataki, jak i przygotowanie infrastruktury do przyszłych działań. Badacze odkryli, że wśród ponad 94 zidentyfikowanych rozszerzeń tylko dziewięć aktywnie prowadziło złośliwą działalność, podczas gdy pozostałe 85 pozostawało w stanie uśpienia. Te uśpione dodatki pełniły funkcję akumulatorów bazy użytkowników, którzy mogli zostać zaatakowani poprzez przyszłe aktualizacje.
Szczególnie niebezpieczny okazał się dodatek do przeglądarki Edge nosący nazwę New Tab – Customized Dashboard. Zawierał on tzw. bombę z opóźnionym zapłonem, która czekała trzy dni przed aktywacją złośliwego kodu. Ta taktyka opóźnienia miała na celu obejście procedur weryfikacji w sklepie z dodatkami, dając fałszywe wrażenie bezpieczeństwa rozszerzenia.
Analitycy odkryli również rozszerzenie Google Translate dostarczone przez dewelopera o nazwie charliesmithbons, dostępne w sklepie przeglądarki Opera. Dodatek ten pobrano prawie milion razy, co czyni go jednym z bardziej rozpowszechnionych zagrożeń w tej kampanii. Badacze przypisują całą serię ataków chińskiej grupie cyberprzestępczej, która operowała z zaplanowaną strategią i długoterminową perspektywą.
Mechanizm działania tych złośliwych rozszerzeń był zaawansowany i wielofunkcyjny. Dodatki przechwytywały adresy odwiedzanych stron internetowych i przesyłały je na serwery kontrolowane przez atakujących wraz z unikalnymi identyfikatorami śledzenia. Serwery mogły następnie przesyłać z powrotem zmodyfikowane adresy URL, przejmując kontrolę nad aktywnością użytkownika i potencjalnie kierując go do niebezpiecznych lokalizacji. Rozszerzenia kradły również dane dotyczące zwyczajów zakupowych, danych logowania i innych poufnych informacji osobistych.
Ewolucja taktyk grupy DarkSpectre pokazuje rosnącą zaawansowanie cyberataków. Początkowo, w 2023 roku, grupa koncentrowała się na oszustwach afiliacyjnych, gdzie wstawiały kody śledzenia do aplikacji. Z czasem rozwinęła bardziej złożone metody obejmujące kradzież danych korporacyjnych i szpiegostwo cyfrowe. Długoterminowe przygotowanie infrastruktury, w postaci uśpionych rozszerzeń, sugeruje plany na dalszą ekspansję działalności przestępczej.
Bezpieczeństwo użytkowników zostało poważnie zagrożone na wielu poziomach. Poza kradzieżą danych osobowych, zainfekowane urządzenia wykazywały obniżoną wydajność systemu i zwiększone zużycie energii. Użytkownicy, którzy mieli szczęście zauważyć anomalie, obserwowali spowolnienie przeglądarek i dziwne zachowania podczas przeglądania stron internetowych.
Koi Security rekomenduje natychmiastowe usunięcie wszystkich podejrzanych rozszerzeń z przeglądarek Chrome, Edge i Firefox. Użytkownicy powinni również wyczyścić dane przeglądarki, aby usunąć zapisane identyfikatory śledzenia i ciasteczka, które mogły być wykorzystane do monitorowania ich aktywności. Zalecane jest również przegląd historii instalowanych dodatków i sprawdzenie, czy pochodzą z oficjalnych źródeł oraz czy mają wiarygodne recenzje od innych użytkowników.