Rohkem kui seitse aastat järjestUlatuslikul küberkuritegevuse operatsioonil on õnnestunud pealtnäha ohutute laienduste abil tungida turul olevate peamiste brauserite, sealhulgas Google Chrome'i ja Microsoft Edge'i, sisusse. Rünnaku ulatus on nii suur, et hinnanguliselt vähemalt 8,8 miljonit kasutajat See võis mõjutada inimesi üle kogu maailma, paljud neist Euroopas ja Hispaanias.
Uurimist juhtisid küberturvalisuse spetsialistid, näiteks ettevõte Koi.aion paljastanud kõrgelt organiseeritud kuritegeliku võrgustiku, mida nimetatakse ... DarkSpectrekes väidetavalt kasutas pahavara levitamiseks ära usaldust ametlike laienduspoodide vastu. Kõige murettekitavam on see, et Enamikul kannatanutest polnud mingeid kahtlusi. et nende pangarekvisiite, volitusi või ettevõtte teavet jäädvustati taustal.
Vaikne rünnak, mis kasutas ära Chrome'i ja Edge'i laiendusi
Teadlaste avaldatud andmete kohaselt ehitas DarkSpectre avaldamiseks ja haldamiseks keeruka infrastruktuuri ligi 300 pahatahtlikku laiendust ametlikes Chrome'i, Edge'i, Firefoxi ja Opera poodides. Paljusid neist laiendustest esitleti väga igapäevaste utiliitidena: alates vahelehtede halduritest ja tõlkijatest kuni reklaamiblokeerijad või tööriistu tootlikkuse parandamiseks.
Nipp seisnes selles, et alguses pakuti legitiimseid funktsioone, saades seeläbi allalaadimisi ja hea maine, mis põhines... kunstlikult loodud positiivsed arvustused ja hinnangudKui laiendused jõudsid märkimisväärse arvu kasutajateni, surusid ründajad edasi varjatud uuendused mis sisaldas pahatahtlikku koodi ilma, et kasutaja oleks töös mingeid ilmseid muutusi märganud.
Chromiumi-põhiste brauserite puhul, näiteks Google Chrome ja Microsoft EdgeTuvastati Trooja hobuse tüüpi laienduste võrgustik, mis oli maskeeritud kohandamisvahenditeks või reklaamiblokeerijateks. Vähemalt üks rünnaku faas tuvastati. 30 eriti populaarset laiendust mis on võimeline varastama pangandusandmeid, sotsiaalmeedia paroole ja automaatselt täidetud vormide andmeid ning saatma kogu selle teabe reaalajas küberkurjategijate kontrolli all olevatele serveritele.
Lisaks andmevargusele sisaldasid mitmed neist laiendustest funktsioone, nagu reklaamisüstimine ja otsingu ümbersuunamineSee võimaldas kuvada pealetükkivaid reklaame, suunates kasutajaid andmepüügisaitidele ja mitmekordistades pettusevõimalusi, sealhulgas pangalehtede või Hispaanias ja mujal Euroopas laialdaselt kasutatavate makseteenuste jäljendamist.
Rohkem kui 8,8 miljonit ohvrit ja kolm suurt koordineeritud kampaaniat
Rünnaku ulatus kajastub luureteenistuste ja küberturvalisuse ettevõtete hallatavates arvudes: hinnanguliselt on 8,8i miljonid kasutajad DarkSpectre'iga seotud mitmesugused kampaaniad on neid mõjutanud kogu maailmas. Selle saavutamiseks väidetavalt hoidis rühmitus kolm erinevat rünnakuliini, tuntud kui ShadyPanda, GhostPoster ja Zoom Stealer.
kampaania ShadyPanda See oli mahu poolest kõige agressiivsem. Läbi enam kui 100 pahatahtlikku laiendust, mis oli peamiselt suunatud e-kaubanduse liikluse manipuleerimisele, oleks kahjustanud ettevõtte andmeid umbes 5,6 miljonit kasutajatKui peidetud funktsioonid aktiveeriti, said need laiendused muuta ostuportaalide linke, suunata makseid petturlikele lehtedele või sisestada lisakoodi kasutajate tegevuse jälgimiseks.
Eksperdid juhivad tähelepanu sellele, et need manöövrid mõjutasid veebipoode ja laialdaselt kasutatavaid makseteenuseid Euroopa Liidus, avades ukse piiriülene finantspettus ja platvormide võimalikud regulatiivse vastavuse probleemid, mis ei tuvastanud liikluse manipuleerimist õigeaegselt.
Teine suurem pealetung, nn. GhostPosterSelle peamine sihtmärk oli brauserid Firefox ja Operamillel olid Chrome'i ja Edge'iga võrreldes mõnevõrra leebemad turvakontrollid. Antud juhul oli eristavaks teguriks steganograafiaRündajad peitsid pahatahtliku JavaScripti koodi PNG-pildifailidesse, mis võimaldas neil kaugjuhiseid täita ja uusi pahavara mooduleid kahtlust tekitamata alla laadida.
Üks silmatorkavamaid näiteid oli laienduse kloonimine Google'i tõlge Opera jaoksmis esmapilgul tundus olevat legaalne tööriist. Kuid kulisside taga paigaldas see tagaukse, kasutades iframe Peidetult keelas see brauseri pettusevastased kaitsefunktsioonid ja lõi ühenduse serveritega, mis olid varem seotud teiste DarkSpectre'i toimingutega, luues ohvri süsteemile püsiva juurdepääsukanali.
Zoom Stealer: hüpe spionaaži valdkonda ettevõtete videokõnedes
Rünnaku kolmas faas, mida on kirjeldatud kui Suumi varastaja, tegi kvalitatiivse hüppe, keskendudes täielikult ärikeskkond2025. aasta lõpuks avastasid teadlased vähemalt 18 spetsiifilist laiendust suunatud videokonverentsiplatvormidele nagu Zoom, Microsoft Teams ja Google Meet, mille hinnanguline mõju on 2,2i miljonid kasutajad.
Neid pikendusi reklaamiti ideaalsete täiendustena kaugtööks ja kaugkoosolekuteks: need lubasid videote kokkuvõte, huvipakkuvate linkide salvestamine, osalejate nimekirjade genereerimine või genereerida iga seansi automaatne kokkuvõte. Väga atraktiivne profiil Hispaania ja Euroopa ettevõtetele, kes on viimastel aastatel hübriid- ja kaugtööd konsolideerinud.
Pärast nende paigaldamist hakkasid tööriistad kriitilise teabe pealtkuulamine videokõnedest: juurdepääsulingid, koosoleku ID-d, külaliste paroolid ja mõnel juhul sessioonide ajal arutatud esitluste ja dokumentidega seotud jagatud sisu või metaandmed.
Nende andmete abil said ründajad ligi privaatsetele koosolekutele, millest paljud olid kõrgetasemelised, ja luua andmehoidlaid. professionaalne ja ärialane luure tohutu strateegilise väärtusega. Konsulteeritud allikate sõnul oli ohustatud sisekommunikatsioon äriplaanide, investeerimislepingute, turustrateegiate ja muude asjaomaste ettevõtete konkurentsivõime suhtes väga tundlike küsimuste osas.
Paralleelselt kasutas Zoom Stealer ära laiendustele antud laiaulatuslikke õigusi, et teostada reaalajas volituste väljafiltreerimineSee hõlmas ettevõtte sisselogimisandmeid, pilvetööriistade juurdepääsuvõtmeid ja professionaalseid profiile, mida sai seejärel uuesti kasutada sihitud rünnakutes, näiteks Euroopa organisatsioonide töötajate vastu suunatud kohandatud andmepüügikampaaniates.
Mõju kasutajatele ja ettevõtetele Euroopas ja Hispaanias
DarkSpectre'i juhtum on toonud esile, mil määral usaldusväärne juuksepikenduste kaupluste kett See võib muutuda haavatavaks kodanike ja organisatsioonide jaoks. Kuigi rünnakul oli globaalne ulatus, jälgivad Euroopa ametivõimud ja intsidentidele reageerimise meeskonnad mitmes riigis, sealhulgas Hispaanias, tähelepanelikult selle mõju kohalikele kasutajatele.
Üksikute kasutajate jaoks tähendavad tagajärjed järgmist: tema salajane jälgimine veebitegevusVõimalik identiteedivargus, volitamata maksed veebiostude pealt ja isikuandmete lekked, mis võivad sattuda salajastele foorumitele. Paljud ohvrid ei saa isegi aru, et nad on sihtmärgiks valitud, kuna enamik laiendusi näis toimivat normaalselt.
Ettevõtlussfääris on löök veelgi tõsisem. Euroopa ettevõtted, kelle tegevus põhineb suures osas pilvetööriistadel ja videokonverentsidel, seisavad silmitsi ... tööstusspionaaži riskidStrateegiliste lepingute lekked ja klientide, tarnijate ja partnerite konfidentsiaalse teabe avalikustamine. Lisaks võivad ettevõtted olla kohustatud teatama turvaintsidentidest selliste määruste alusel nagu Andmekaitse üldmäärus (RGPD)mainekahjude ja võimalike sanktsioonide eeldamine.
Esialgsed aruanded viitavad sellele, et kuritegelik võrgustik võis olla loonud autentseid ettevõtte andmelaod See teave saadakse eraviisiliste vestluste, koosolekutel jagatud dokumentide ja volitamata juurdepääsu kaudu intranetile või siseteenustele. See on äärmiselt väärtuslik mustal turul müümiseks, samuti väljapressimiskampaaniate või ebaausa konkurentsi jaoks.
Euroopa ametivõimud teevad koostööd tehnoloogiapakkujatega, et parandada juuksepikenduste kauplustes tuvastussüsteeme ja tugevdada kontrolli isikuandmete kasutamise üle. Eksperdid juhivad aga tähelepanu sellele, et ükski automatiseeritud süsteem pole eksimatu ja et viimaseks kaitseliiniks jääb kasutaja ja tema turvaharjumused.
Kuidas kaitsta end pärast ulatuslikku küberrünnakut Chrome'ile ja Edge'ile
Sellise pikaajalise ja keeruka stsenaariumi korral soovitavad küberturvalisuse eksperdid võtta mitmeid viivitamatuid meetmeid, et vähendada mõju rünnakust ja edasiste nakkuste ennetamiseks, eriti Chrome'i ja Edge'i kasutajate seas Hispaanias ja mujal Euroopas.
Esimene samm on teostada a laienduste täielik audit Need lisandmoodulid on installitud kõikidesse brauseritesse. Soovitatav on need ükshaaval üle vaadata ja desinstallida kõik lisandmoodulid, mida ei tuvastata, mida ei kasutata regulaarselt või mis ei pärine usaldusväärselt arendajalt. Kahtluse korral on kõige parem eemaldada ja uuesti installida ainult ametliku pakkuja allikast, kui see on hädavajalik.
Samuti on oluline kontrollida, kas brauser on värskendatud uusimale saadaolevale versioonileNii Google kui ka Microsoft on lisanud parandusi, et blokeerida mõningaid DarkSpectre'i kasutatavaid tehnikaid, seega sisaldavad uusimad versioonid konkreetseid täiustusi kahtlase käitumise tuvastamisel ja laiendusõiguste haldamisel.
Veebikontode puhul on soovitatav muuta kriitiliste teenuste paroolid (e-post, internetipank, sotsiaalmeedia, ettevõtte tööriistad), kui on kahtlusi ohustatud laienduse kasutamise kohta. Soovitatav on kasutada iga teenuse jaoks unikaalseid ja tugevaid paroole, ideaaljuhul paroolihalduri abil.
Lisaks nõuavad spetsialistid aktiveerimist kahefaktoriline autentimine (2FA) võimaluse korral. See mehhanism lisab täiendava kaitsekihi, nii et isegi kui ründaja saab parooli kätte, on tal ilma ajutise koodi või teise kinnituselemendita palju raskem kontole juurde pääseda.
Lõpuks, organisatsioonide puhul, mis tuginevad suuresti platvormidele nagu Zoom, Teams või Google Meet, on soovitatav rakendada paigaldatud laienduste perioodilised kontrollid ettevõtte brauserites rakendada turvapoliitikaid mis piiravad volitamata lisandmoodulite installimist ja koolitavad töötajaid võimalike pettuste tuvastamiseks nii laiendustes kui ka sarnaste kampaaniatega kaasneda võivates meilides või linkides.
Kõik, mida DarkSpectre'i ja selle ShadyPanda, GhostPosteri ja Zoom Stealeri kampaaniate kohta avastati, peegeldab ulatust, mil määral Brauserilaiendustest on saanud prioriteetne sihtmärk Küberkurjategijate jaoks on ametlike veebipoodide usalduse, kasulike funktsioonide ja manipuleeritud arvustuste kombinatsioon võimaldanud neil aastaid vaikset rünnakut jätkata, millel on tohutu mõju nii üksikisikutele kui ka ettevõtetele. See sunnib meid ümber mõtlema, kuidas me neid lisandmooduleid oma igapäevases digitaalses elus installime ja haldame.
