Par vairāk nekā septiņus gadus pēc kārtasLiela mēroga kibernoziegumu operācijai ir izdevies iefiltrēties galvenajās tirgū pieejamajās pārlūkprogrammās, tostarp Google Chrome un Microsoft Edge, izmantojot šķietami nekaitīgus paplašinājumus. Uzbrukuma apmērs ir tik plašs, ka tiek lēsts, ka vismaz 8,8 miljoni lietotāju Varētu būt skarti cilvēki visā pasaulē, daudzi no viņiem Eiropā un Spānijā.
Izmeklēšanu vadīja kiberdrošības speciālisti, piemēram, uzņēmums Koi.ai, ir atklājis augsti organizētu noziedzīgu tīklu, kas nodēvēts par DarkSpectrekas, iespējams, izmantoja uzticību oficiālajām paplašinājumu vietnēm, lai izplatītu ļaunprogrammatūru. Visbažīgākais aspekts ir tas, ka Lielākajai daļai skarto nebija nekādu aizdomu ka fonā tiek tvertas viņu bankas dati, akreditācijas dati vai korporatīvā informācija.
Klusais uzbrukums, kas izmantoja Chrome un Edge paplašinājumus
Saskaņā ar pētnieku atklātajiem datiem, DarkSpectre izveidoja sarežģītu infrastruktūru publicēšanai un uzturēšanai gandrīz 300 ļaunprātīgu paplašinājumu oficiālajos Chrome, Edge, Firefox un Opera veikalos. Daudzi no šiem paplašinājumiem tika prezentēti kā ļoti ikdienas utilītprogrammas: sākot no cilņu pārvaldniekiem un tulkotājiem līdz pat reklāmu bloķētāji vai rīkus produktivitātes uzlabošanai.
Knifs bija sākotnēji piedāvāt likumīgas funkcijas, tādējādi iegūstot lejupielādes un labu reputāciju, kuras pamatā ir mākslīgi ģenerētas pozitīvas atsauksmes un vērtējumiKad paplašinājumi sasniedza ievērojamu lietotāju skaitu, uzbrucēji izplatīja slepeni atjauninājumi kas iekļāva ļaunprātīgo kodu, lietotājam nepamanot nekādas acīmredzamas darbības izmaiņas.
Chromium bāzes pārlūkprogrammu gadījumā, piemēram, Google Chrome un Microsoft EdgeTika atklāts Trojas zirga tipa paplašinājumu tīkls, kas maskēts kā pielāgošanas rīki vai reklāmu bloķētāji. Vismaz viena uzbrukuma fāze ir identificēta. 30 īpaši populāri paplašinājumi spēj nozagt bankas akreditācijas datus, sociālo mediju paroles un automātiskās aizpildes veidlapu datus, reāllaikā nosūtot visu šo informāciju uz serveriem, kurus kontrolē kibernoziedznieki.
Papildus datu zādzībai vairāki no šiem paplašinājumiem ietvēra arī šādas funkcijas: reklāmas injekcija un meklēšanas pāradresācijaTas ļāva rādīt uzmācīgas reklāmas, novirzot lietotājus uz pikšķerēšanas vietnēm un palielinot krāpšanas iespējas, tostarp uzdodoties par bankas lapām vai maksājumu pakalpojumiem, kas plaši tiek izmantoti Spānijā un pārējā Eiropā.
Vairāk nekā 8,8 miljoni upuru un trīs lielas koordinētas kampaņas
Uzbrukuma apmēru atspoguļo izlūkdienestu un kiberdrošības uzņēmumu apstrādātie dati: tiek lēsts, ka 8,8 miljoni lietotāju Viņus visā pasaulē ir ietekmējušas dažādas ar DarkSpectre saistītās kampaņas. Lai to panāktu, grupa it kā uzturēja trīs atšķirīgas uzbrukuma līnijas, pazīstams kā ShadyPanda, GhostPoster un Zoom Stealer.
kampaņa ShadyPanda Tas bija visagresīvākais apjoma ziņā. Ar vairāk nekā 100 ļaunprātīgi paplašinājumi, kas galvenokārt bija vērsts uz e-komercijas datplūsmas manipulēšanu, būtu apdraudējis datus aptuveni 5,6 miljoni lietotājuKad slēptās funkcijas bija aktivizētas, šie paplašinājumi varēja modificēt saites iepirkšanās portālos, novirzīt maksājumus uz krāpnieciskām lapām vai ievietot papildu kodu, lai turpinātu izsekot lietotāju aktivitātēm.
Eksperti norāda, ka šīs manevras ietekmēja tiešsaistes veikalus un plaši izmantotos maksājumu pakalpojumus Eiropas Savienībā, paverot durvis uz pārrobežu finanšu krāpšana un potenciālas atbilstības normatīvajiem aktiem problēmas platformām, kas laikus nekonstatēja datplūsmas manipulācijas.
Otrais lielais ofensīvs, ko sauca par GhostPosterTās galvenais mērķis bija pārlūkprogrammas Firefox un Operakam bija nedaudz mazāk stingras drošības kontroles nekā Chrome un Edge. Šajā gadījumā atšķirības faktors bija steganogrāfijaUzbrucēji PNG attēlu failos paslēpa ļaunprātīgu JavaScript kodu, ļaujot viņiem attālināti izpildīt instrukcijas un lejupielādēt jaunus ļaunprogrammatūras moduļus, neradot aizdomas.
Viens no spilgtākajiem piemēriem bija paplašinājuma klonēšana. Google tulkotājs operētājsistēmai Operakas no pirmā acu uzmetiena šķita likumīgs rīks. Tomēr aizkulisēs tas uzstādīja aizmugurējās durvis, izmantojot iframe Slēptā veidā tā atspējoja pārlūkprogrammas krāpšanas apkarošanas aizsardzību un izveidoja savienojumu ar serveriem, kas iepriekš bija saistīti ar citām DarkSpectre darbībām, radot pastāvīgu piekļuves kanālu upura sistēmai.
Zoom Stealer: Lēciens uz spiegošanu korporatīvajos videozvanos
Uzbrukuma trešā fāze, kas identificēta kā Tālummaiņas zaglis, spēra kvalitatīvu lēcienu, pilnībā koncentrējoties uz uzņēmējdarbības vidiLīdz 2025. gada beigām pētnieki atklāja vismaz 18 specifiski paplašinājumi vērsta uz videokonferenču platformām, piemēram, Zoom, Microsoft Teams un Google Meet, ar paredzamo ietekmi uz 2,2 miljoni lietotāju.
Šie paplašinājumi tika reklamēti kā ideāli papildinājumi attālinātajam darbam un attālinātām sanāksmēm: tie solīja apkopot video, saglabāt interesējošās saites, ģenerēt dalībnieku sarakstus vai ģenerēt automātisku katras sesijas kopsavilkumu. Ļoti pievilcīgs profils Spānijas un Eiropas uzņēmumiem, kas pēdējos gados ir konsolidējuši hibrīddarbu un attālināto darbu.
Pēc to uzstādīšanas instrumenti sāka darboties pārtvert kritisku informāciju no videozvaniem: piekļuves saites, sapulču ID, viesu paroles un dažos gadījumos koplietots saturs vai metadati, kas saistīti ar sesiju laikā apspriestajām prezentācijām un dokumentiem.
Ar šiem datiem uzbrucēji varēja piekļūt privātām sanāksmēm, daudzām no tām augsta līmeņa, un izveidot krātuves ar profesionālā un komerciālā izlūkošana ar milzīgu stratēģisku vērtību. Saskaņā ar konsultētajiem avotiem, iekšējā komunikācija par biznesa plāniem, investīciju līgumiem, tirgus stratēģijām un citiem jautājumiem, kas ir ļoti jutīgi pret iesaistīto uzņēmumu konkurētspēju, tika apdraudēta.
Paralēli Zoom Stealer izmantoja paplašinājumiem piešķirtās plašās atļaujas, lai veiktu reāllaika akreditācijas datu eksfiltrācijaTas ietvēra korporatīvos pieteikšanās datus, piekļuves atslēgas mākoņa rīkiem un profesionālos profilus, kurus pēc tam varēja atkārtoti izmantot mērķtiecīgos uzbrukumos, piemēram, ļoti pielāgotās pikšķerēšanas kampaņās pret Eiropas organizāciju darbiniekiem.
Ietekme uz lietotājiem un uzņēmumiem Eiropā un Spānijā
DarkSpectre lieta ir izcēlusi to, cik lielā mērā uzticama matu pieaudzēšanas veikalu ķēde Tas varētu kļūt par ievainojamību iedzīvotājiem un organizācijām. Lai gan uzbrukumam bija globāls mērogs, Eiropas iestādes un incidentu reaģēšanas komandas vairākās valstīs, tostarp Spānijā, rūpīgi uzrauga tā ietekmi uz vietējiem lietotājiem.
Atsevišķiem lietotājiem sekas izpaužas šādi: viņa slepena novērošana tiešsaistes aktivitātesIespējama identitātes zādzība, neatļautas maksas par tiešsaistes pirkumiem un personas datu noplūde, kas varētu nonākt slepenos forumos. Daudzi upuri pat neapzināsies, ka ir kļuvuši par upuri, jo lielākā daļa paplašinājumu šķietami darbojās normāli.
Korporatīvajā sfērā trieciens ir vēl nopietnāks. Eiropas uzņēmumi, kas lielu daļu savu darbību balsta uz mākoņdatošanas rīkiem un videokonferencēm, saskaras ar rūpnieciskās spiegošanas riskiStratēģisku līgumu noplūdes un konfidenciālas informācijas izpaušana par klientiem, piegādātājiem un partneriem. Turklāt uzņēmumiem var būt pienākums ziņot par drošības incidentiem saskaņā ar tādiem noteikumiem kā Vispārīgā datu aizsardzības regula (RGPD)uzņemoties reputācijas zaudējumus un iespējamās sankcijas.
Sākotnējie ziņojumi liecina, ka noziedzīgais tīkls, iespējams, ir izveidojis autentiskus korporatīvās datu noliktavas Šī informācija tiek iegūta, izmantojot privātas sarunas, sanāksmēs kopīgotus dokumentus un neatļautu piekļuvi iekštīkliem vai iekšējiem pakalpojumiem. Tā ir ārkārtīgi vērtīga pārdošanai melnajos tirgos, kā arī šantāžas kampaņām vai negodīgai konkurencei.
Eiropas iestādes sadarbojas ar tehnoloģiju nodrošinātājiem, lai uzlabotu matu pieaudzēšanas salonu noteikšanas sistēmas un stiprinātu kontroli pār personas datu izmantošanu. Tomēr eksperti norāda, ka neviena automatizēta sistēma nav nekļūdīga un ka pēdējā aizsardzības līnija joprojām ir lietotājs un viņa drošības paradumi.
Kā pasargāt sevi pēc masveida kiberuzbrukuma pārlūkprogrammām Chrome un Edge
Saskaroties ar tik ilgstošu un sarežģītu scenāriju, kiberdrošības eksperti iesaka virkni tūlītēju pasākumu, lai samazināt ietekmi uzbrukuma sekas un novērstu turpmākas inficēšanās, īpaši Chrome un Edge lietotāju vidū Spānijā un pārējā Eiropā.
Pirmais solis ir veikt pilnīga paplašinājumu revīzija Šie papildinājumi ir instalēti visās pārlūkprogrammās. Ieteicams tos pārskatīt pa vienam un atinstalēt visus papildinājumus, kas netiek atpazīti, netiek regulāri izmantoti vai nenāk no uzticama izstrādātāja. Ja rodas šaubas, vislabāk ir noņemt un atkārtoti instalēt tikai no oficiālā nodrošinātāja avota, ja tas ir absolūti nepieciešams.
Ir arī svarīgi pārbaudīt, vai pārlūkprogramma ir atjaunināta uz jaunāko pieejamo versijuGan Google, gan Microsoft ir ieviesuši ielāpus, lai bloķētu dažas no DarkSpectre izmantotajām metodēm, tāpēc jaunākajās versijās ir iekļauti īpaši uzlabojumi aizdomīgas uzvedības noteikšanā un paplašinājumu atļauju pārvaldībā.
Attiecībā uz tiešsaistes kontiem ieteicams mainīt paroles kritiski svarīgiem pakalpojumiem (e-pasts, internetbanka, sociālie mediji, korporatīvie rīki), ja rodas aizdomas par kompromitēta paplašinājuma izmantošanu. Ieteicams izmantot šo iespēju, lai katram pakalpojumam izmantotu unikālas un spēcīgas paroles, ideālā gadījumā izmantojot paroļu pārvaldnieka palīdzību.
Turklāt speciālisti uzstāj uz aktivizēšanu divu faktoru autentifikācija (2FA) kad vien iespējams. Šis mehānisms pievieno papildu aizsardzības slāni, tāpēc pat ja uzbrucējs iegūst paroli, viņam būs daudz grūtāk piekļūt kontam bez pagaidu koda vai otrā verifikācijas elementa.
Visbeidzot, organizācijām, kas lielā mērā paļaujas uz tādām platformām kā Zoom, Teams vai Google Meet, ieteicams ieviest uzstādīto paplašinājumu periodiskas pārbaudes korporatīvajās pārlūkprogrammās, ieviest drošības politikas kas ierobežo neatļautu pievienojumprogrammu instalēšanu un apmāca darbiniekus atklāt potenciālas krāpniecības gan paplašinājumos, gan e-pastos vai saitēs, kas var būt saistītas ar līdzīgām kampaņām.
Viss, kas tika atklāts par DarkSpectre un tā ShadyPanda, GhostPoster un Zoom Stealer kampaņām, atspoguļo to, cik lielā mērā Pārlūkprogrammas paplašinājumi ir kļuvuši par prioritāru mērķi Kibernoziedzniekiem uzticēšanās oficiālajiem veikaliem, noderīgām funkcijām un manipulētām atsauksmēm ir ļāvusi gadiem ilgi veikt klusu uzbrukumu, kas ir būtiski ietekmējis gan atsevišķus lietotājus, gan uzņēmumus. Tas liek mums pārdomāt, kā mēs instalējam un pārvaldām šos papildinājumus savā ikdienas digitālajā dzīvē.
