В течение последних семи лет злоумышленники, связанные с группой DarkSpectre, внедряли вредоносное ПО через браузерные расширения, что привело к заражению более 8,8 миллиона пользователей. Обнаруженная аналитиками компании Koi Security, эта кампания стала одной из крупнейших в истории по масштабам и сложности. Операция осуществлялась на платформах Chrome, Edge и Firefox, сочетая легитимные функции расширений с скрытым вредоносным кодом, что затрудняло обнаружение.
Детали событий и суть кампании DarkSpectre
Группа DarkSpectre использовала стратегию долгосрочной эксплуатации доверия пользователей к расширениям браузеров. Вместо быстрого внедрения вредоносного кода атакующие контролировали инфраструктуру через серверы, что позволяло им изменять поведение вредоносного ПО без необходимости обновлений расширений в магазинах расширений. Аналитики обнаружили, что злоумышленники использовали легитимные системы для маскировки своих действий, внедряя скрытые скрипты внутри изображений PNG, которые запускались при загрузке расширений.
Эта операция охватывала несколько целей: сбор корпоративных данных, слежка за пользователями, а также мошеннические схемы аффилированного маркетинга и кража чувствительных данных. В частности, злоумышленники собирали информацию о корпоративных встречах с более чем 28 платформ для видеоконференций, что могло привести к кибершпионажу и фишинговым атакам.
Хронология и основные пункты кампании
— Анализ инфраструктуры, связанной с группой ShadyPanda, выявил общие системы, используемые для нескольких расширений.
— Обнаружено более 100 связанных расширений, распределенных по нескольким браузерным маркетплейсам.
— Вредоносный код скрывался внутри изображений и активировался при определенных условиях, что затрудняло обнаружение.
— Управление вредоносным ПО осуществлялось удаленно, без необходимости обновления расширений в магазинах.
— В общей сложности более 4 миллионов пользователей пострадали от кампании, а число потенциальных жертв может достигать 5,6 миллиона в зависимости от связанной инфраструктуры.
Позиции сторон, реакции и опровержения
Эксперты Koi Security подчеркнули, что DarkSpectre действует на масштабах, сравнимых с государственными операциями, благодаря использованию легитимных систем для скрытной работы. Представители платформ, таких как Chrome Web Store, отметили, что их системы безопасности не могут полностью исключить риск, однако регулярные проверки и автоматические обновления снижают вероятность заражения.
Некоторые разработчики расширений и пользователи выразили обеспокоенность по поводу доверия к магазинам приложений, однако официальные источники подтверждают, что большинство расширений проходят проверки. Тем не менее, злоумышленники используют уязвимости в модели доверия, что подчеркивает необходимость осторожности при установке новых дополнений.
Несмотря на слухи о «всеопасных» расширениях, официальных подтверждений массовых взломов или массового распространения вредоносного ПО через конкретные платформы не поступало. Кампания DarkSpectre служит напоминанием о необходимости бдительности и регулярной проверке установленных расширений.
Контекст и возможные последствия
Эта кампания демонстрирует, как злоумышленники используют долгосрочные стратегии для обхода систем защиты и получения доступа к чувствительным данным. Успех DarkSpectre показывает, что даже легитимные расширения, оставшиеся без должного контроля и обновлений, могут стать каналами для серьезных киберугроз. В результате, пользователи и компании должны быть внимательны к установленным расширениям, регулярно их проверять и обновлять.
Данная ситуация подчеркивает необходимость развития технологий автоматической диагностики и усиления мер безопасности в магазинах расширений, а также важность повышения осведомленности пользователей о потенциальных рисках.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты