Cercetătorii în securitate cibernetică au descoperit una dintre cele mai sofisticate operațiuni de malware prin extensii de browser înregistrate vreodată, afectând 8,8 milioane de utilizatori ai Chrome, Edge și Firefox pe parcursul unei campanii de șapte ani orchestrată de un singur actor de amenințări chinez.
Koi Security a publicat pe 29 decembrie constatări care identifică DarkSpectre, o operațiune bine finanțată din spatele a trei campanii distincte de malware care au transformat extensii de browser de încredere în instrumente de supraveghere și infrastructură de spionaj corporativ. Operațiunea constă din ShadyPanda care afectează 5,6 milioane de utilizatori, campania Zoom Stealer nou descoperită care vizează 2,2 milioane de utilizatori și GhostPoster care impactează 1,05 milioane de utilizatori.
“Aceștia nu sunt trei actori de amenințări separați care desfășoară operațiuni similare. Aceasta este o singură operațiune foarte bine organizată,” au scris cercetătorii Koi Security în raportul lor. Firma de securitate cibernetică a conectat campaniile prin intermediul infrastructurii comune de comandă și control, inclusiv domeniile infinitynewtab.com și infinitytab.com, care alimentau funcții legitime ale extensiilor în timp ce se conectau la servere malițioase.
Strategia de Atac a Pacientului
Actorii amenințărilor au demonstrat o răbdare remarcabilă, menținând extensii cu aspect legitim timp de cinci ani sau mai mult înainte de a le transforma în arme cu sarcini utile malițioase. O extensie numită “New Tab – Customized Dashboard” folosește ceea ce cercetătorii numesc o activare “bombă cu ceas”, așteptând trei zile după instalare înainte de a se conecta la serverele de comandă și control.
“În timpul procesului de revizuire, când platformele evaluează extensiile pentru siguranță, această extensie pare complet legitimă”, conform The Hacker News. Malware-ul se activează doar la aproximativ 10 la sută din încărcările de pagini, făcând detectarea în timpul testării de rutină exponențial mai dificilă.
Campania include în prezent nouă extensii activ malițioase și încă 85 de “dormitoare” care rămân benigne în timp ce acumulează baze de utilizatori înainte de a fi transformate în arme prin actualizări, conform Koi Security.
Focalizare pe Spionajul Corporate
Campania Zoom Stealer reprezintă o schimbare către colectarea țintită de informații corporative. Aceste 18 extensii se prefac a fi instrumente de videoconferință, dar colectează sistematic linkuri de întâlniri, credențiale, liste de participanți și profiluri de vorbitori de pe 28 de platforme de videoconferință, inclusiv Zoom, Microsoft Teams și Google Meet.
„Aceasta nu este fraudă pentru consumatori – aceasta este infrastructură de spionaj corporativ”, au scris cercetătorii Tuval Admoni și Gal Hachamov. Extensiile stabilesc conexiuni WebSocket persistente care transmit activitatea din întâlniri în timp real către baze de date Firebase și funcții Google Cloud.
Campania GhostPoster a folosit steganografia pentru a încorpora cod JavaScript malițios în fișiere logo PNG, permițând malware-ului să evite scannerele de securitate automate. Tehnica ascunde codul după datele imaginii în pictogramele extensiilor, separat prin șiruri de caractere marcatoare, în timp ce logourile se afișează normal pentru utilizatori.
Atât Google, cât și Microsoft au confirmat eliminarea extensiilor malițioase identificate din magazinele lor web, deși eliminarea nu le dezinstalează automat din browserele utilizatorilor.
Surse:
https://thehackernews.com/2025/12/darkspectre-browser-extension-campaigns.html
https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers
DarkSpectre Hackers Spread Malware to 8.8 Million Chrome, Edge, and Firefox Users
DarkSpectre Hackers Infected 8.8 Million Chrome, Edge, and Firefox Users with Malware