Кампанията DarkSpectre е компрометирала над 8.8 млн. потребители чрез злонамерени браузър разширения
Изследователи по киберсигурност разкриха мащабна и дългосрочна операция, обозначена като DarkSpectre, при която над 8.8 милиона потребители на Google Chrome, Microsoft Edge и Mozilla Firefox са били изложени на злонамерен код чрез на пръв поглед легитимни браузър разширения.
Според анализа, DarkSpectre не представлява отделни несвързани кампании, а една добре финансирана и координирана заплаха, активна в продължение на поне седем години.
Три кампании – един оператор
Разследването идентифицира три основни линии на атака:
ShadyPanda – засягаща приблизително 5.6 млн. потребители
Zoom Stealer – новооткрита кампания с около 2.2 млн. жертви
GhostPoster – около 1.05 млн. компрометирани инсталации
Макар първоначално да са изглеждали като отделни заплахи, инфраструктурният анализ показва, че те се управляват от един и същ оператор, използващ споделени домейни, кодови модели и командно-контролни механизми.
Дългосрочна стратегия и „спящи“ разширения
Един от най-обезпокоителните аспекти на DarkSpectre е търпеливият модел на компрометиране. Разширенията са поддържали легитимна функционалност (например нов таб, уиджети за време, аудио инструменти) в продължение на години, преди да бъдат активирани злонамерените им компоненти.
Някои разширения са чакали дни или седмици след инсталация, преди да се свържат с командни сървъри – подход, който успешно заобикаля стандартните процеси за преглед в магазините за разширения.
Усъвършенствани техники за прикриване
Изследователите описват няколко напреднали техники:
Time-bomb активация – злонамереният код се активира само след определено време
Частично изпълнение – кодът се задейства само при малък процент от зарежданията на страници
Стеганография – JavaScript код, скрит в PNG изображения
Сървърно управляван payload – функционалността се променя динамично от сървърите на атакуващите, без ъпдейт на разширението
Този модел затруднява както автоматичните анализи, така и ръчните проверки от страна на браузърните платформи.
Рискове за потребители и организации
След активиране, разширенията могат да:
инжектират рекламен и измамен код;
проследяват активност в браузъра;
извличат чувствителни данни;
служат като входна точка за по-нататъшни атаки.
Кампанията показва как браузър разширенията остават подценяван, но изключително ефективен вектор за атака, включително в корпоративна среда.
DIAMATIX Perspective
DarkSpectre ясно демонстрира, че дългосрочните, „тихи“ кампании са по-опасни от шумните атаки. Защитата изисква:
инвентаризация и одит на използваните разширения;
ограничаване на разширенията в корпоративни браузъри;
мониторинг на поведение, а не само на сигнатури;
ясно разграничение между „популярно“ и „доверено“.
Източници:
Koi Security – технически анализ и инфраструктурна корелация
CybersecurityNews – първоначално разкритие и обобщение
независими анализи, цитирани от изследователски общности в GitHub и X (бивш Twitter)
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
