Už daugiau nei septynerius metus iš eilėsDidelio masto kibernetinių nusikaltimų operacijai pavyko infiltruotis į pagrindines rinkoje esančias naršykles, įskaitant „Google Chrome“ ir „Microsoft Edge“, per, regis, nekenksmingus plėtinius. Atakos mastas yra toks platus, kad manoma, jog... mažiausiai 8,8 milijono vartotojų Galėjo nukentėti žmonės visame pasaulyje, daugelis jų – Europoje ir Ispanijoje.
Tyrimui vadovavo kibernetinio saugumo specialistai, tokie kaip įmonė Koi.aiatskleidė itin organizuotą nusikalstamą tinklą, pavadintą ... DarkSpectrekurie, kaip įtariama, pasinaudojo pasitikėjimu oficialiomis plėtinių parduotuvėmis, kad platintų kenkėjiškas programas. Labiausiai nerimą kelia tai, kad Dauguma nukentėjusiųjų neturėjo jokių įtarimų. kad fone buvo renkami jų banko duomenys, kredencialai arba įmonės informacija.
Tyli ataka, išnaudojusi „Chrome“ ir „Edge“ plėtinius
Remiantis tyrėjų atskleistais duomenimis, „DarkSpectre“ sukūrė sudėtingą infrastruktūrą, skirtą publikuoti ir prižiūrėti beveik 300 kenkėjiškų plėtinių oficialiose „Chrome“, „Edge“, „Firefox“ ir „Opera“ parduotuvėse. Daugelis šių plėtinių buvo pristatyti kaip labai kasdienės priemonės: nuo skirtukų tvarkyklių ir vertėjų iki skelbimų blokatoriai arba įrankiai produktyvumui didinti.
Gudrybė buvo iš pradžių siūlyti teisėtas funkcijas, taip padidinant atsisiuntimų skaičių ir sukuriant gerą reputaciją, pagrįstą dirbtinai sugeneruoti teigiami atsiliepimai ir įvertinimaiKai plėtiniai pasiekė didelį skaičių vartotojų, užpuolikai... slapti atnaujinimai kuris įtraukė kenkėjišką kodą, vartotojui nepastebėjus jokių akivaizdžių veikimo pokyčių.
„Chromium“ pagrindu sukurtų naršyklių, pvz., Google Chrome ir Microsoft EdgeAptiktas Trojos arklio tipo plėtinių tinklas, užmaskuotas kaip pritaikymo įrankiai arba reklamos blokatoriai. Nustatyta bent viena atakos fazė. 30 ypač populiarių plėtinių galintis pavogti banko prisijungimo duomenis, socialinių tinklų slaptažodžius ir automatiškai pildomų formų duomenis, visą šią informaciją realiuoju laiku siunčiant į kibernetinių nusikaltėlių kontroliuojamus serverius.
Be duomenų vagystės, keli iš šių plėtinių apėmė ir tokias funkcijas kaip reklamos injekcija ir paieškos peradresavimasTai leido rodyti įkyrius skelbimus, nukreipti vartotojus į sukčiavimo svetaines ir padauginti sukčiavimo galimybes, įskaitant banko puslapių ar mokėjimo paslaugų, plačiai naudojamų Ispanijoje ir likusioje Europoje, apsimetinėjimą.
Daugiau nei 8,8 milijono aukų ir trys didelės koordinuotos kampanijos
Išpuolio mastą atspindi žvalgybos tarnybų ir kibernetinio saugumo bendrovių tvarkomi duomenys: manoma, kad 8,8 milijonai vartotojų Jiems visame pasaulyje įtakos turėjo įvairios su „DarkSpectre“ susijusios kampanijos. Siekdama šio tikslo, grupė tariamai palaikė trys skirtingos puolimo linijos, žinomas kaip „ShadyPanda“, „GhostPoster“ ir „Zoom Stealer“.
kampanija ShadyPanda Tai buvo agresyviausia apimties atžvilgiu. Per daugiau nei 100 kenkėjiškų plėtinių, daugiausia skirta manipuliuoti el. prekybos srautu, būtų pakenkę duomenims maždaug 5,6 milijonų vartotojųĮjungus paslėptas funkcijas, šie plėtiniai galėjo modifikuoti nuorodas apsipirkimo portaluose, nukreipti mokėjimus į apgaulingus puslapius arba įterpti papildomą kodą, kad toliau stebėtų naudotojų veiklą.
Ekspertai atkreipia dėmesį, kad šie manevrai paveikė internetines parduotuves ir plačiai naudojamas mokėjimo paslaugas Europos Sąjungoje, atvėrdami duris tarpvalstybinis finansinis sukčiavimas ir galimos atitikties reglamentams problemos platformoms, kurios laiku neaptiko srauto manipuliavimo.
Antrasis didelis puolimas, vadinamas VaiduoklisPosterPagrindinis jos taikinys buvo naršyklės „Firefox“ ir „Opera“kurios turėjo šiek tiek mažiau griežtą saugumo kontrolę nei „Chrome“ ir „Edge“. Šiuo atveju skiriamasis veiksnys buvo naudojimas steganografijaUžpuolikai paslėpė kenkėjišką „JavaScript“ kodą PNG vaizdo failuose, leisdami jiems vykdyti nuotolines instrukcijas ir atsisiųsti naujus kenkėjiškų programų modulius nesukeldami įtarimų.
Vienas ryškiausių pavyzdžių buvo plėtinio klonavimas. „Google“ vertėjas, skirtas „Opera“kuris iš pirmo žvilgsnio atrodė kaip teisėtas įrankis. Tačiau užkulisiuose jis įdiegė galines duris, naudodamas iframe Paslėptas virusas išjungė naršyklės apsaugą nuo sukčiavimo ir užmezgė ryšį su serveriais, anksčiau susietais su kitomis „DarkSpectre“ operacijomis, taip sukurdamas nuolatinį prieigos kanalą prie aukos sistemos.
„Zoom Stealer“: šuolis į šnipinėjimą įmonių vaizdo skambučiuose
Trečiasis išpuolio etapas, identifikuotas kaip Mastelio stūmimo vagis, žengė kokybinį šuolį, visiškai susitelkdamas į Verslo aplinkaIki 2025 m. pabaigos tyrėjai aptiko bent 18 konkrečių plėtinių skirta vaizdo konferencijų platformoms, tokioms kaip „Zoom“, „Microsoft Teams“ ir „Google Meet“, o numatomas poveikis 2,2 milijonai vartotojų.
Šie pratęsimai buvo reklamuojami kaip idealūs nuotolinio darbo ir nuotolinių susitikimų papildymai: jie žadėjo apibendrinti vaizdo įrašus, išsaugoti dominančias nuorodas, generuoti dalyvių sąrašus arba automatiškai sugeneruoti kiekvienos sesijos santrauką. Labai patrauklus profilis Ispanijos ir Europos įmonėms, kurios pastaraisiais metais konsolidavo hibridinį ir nuotolinį darbą.
Po jų įdiegimo įrankiai pradėjo veikti perimti svarbią informaciją iš vaizdo skambučių: prieigos nuorodos, susitikimų ID, svečių slaptažodžiai ir, kai kuriais atvejais, bendrinamas turinys arba metaduomenys, susiję su sesijų metu aptartais pristatymais ir dokumentais.
Turėdami šiuos duomenis, užpuolikai galėjo prisijungti prie privačių susitikimų, daugelis jų – aukšto lygio, ir sukurti duomenų saugyklas. profesinė ir komercinė žvalgyba turintis didžiulę strateginę vertę. Remiantis konsultuotais šaltiniais, buvo pažeista vidinė komunikacija dėl verslo planų, investicinių susitarimų, rinkos strategijų ir kitų klausimų, kurie yra labai jautrūs susijusių įmonių konkurencingumui.
Tuo pačiu metu „Zoom Stealer“ pasinaudojo plačiais plėtiniams suteiktais leidimais, kad atliktų kredencialų išgavimas realiuoju laikuTai apėmė įmonių prisijungimo duomenis, prieigos prie debesijos įrankių raktus ir profesinius profilius, kuriuos vėliau buvo galima pakartotinai panaudoti tikslinėse atakose, pavyzdžiui, itin pritaikytose sukčiavimo kampanijose prieš Europos organizacijų darbuotojus.
Poveikis vartotojams ir įmonėms Europoje ir Ispanijoje
„DarkSpectre“ byla išryškino, kiek patikimas plaukų priauginimo parduotuvių tinklas Tai gali tapti pažeidžiama piliečiams ir organizacijoms. Nors ataka buvo pasaulinio masto, Europos valdžios institucijos ir incidentų reagavimo komandos keliose šalyse, įskaitant Ispaniją, atidžiai stebi poveikį vietos vartotojams.
Individualiems vartotojams pasekmės virsta slapta jo stebėsena veikla interneteGalima tapatybės vagystė, neleistini mokėjimai už pirkinius internetu ir asmens duomenų nutekėjimas, kuris gali patekti į slaptus forumus. Daugelis aukų net nesuvokia, kad tapo taikiniu, nes dauguma plėtinių, regis, veikė normaliai.
Įmonių sektoriuje smūgis dar rimtesnis. Europos įmonės, kurios didelę dalį savo veiklos grindžia debesijos įrankiais ir vaizdo konferencijomis, susiduria su... pramoninio šnipinėjimo rizikaStrateginių susitarimų nutekėjimas ir konfidencialios informacijos apie klientus, tiekėjus ir partnerius atskleidimas. Be to, įmonės gali būti įpareigotos pranešti apie saugumo incidentus pagal tokius reglamentus kaip Bendrasis duomenų apsaugos reglamentas (RGPD)prisiimdama reputacijos nuostolius ir galimas sankcijas.
Preliminarūs pranešimai rodo, kad nusikaltėlių tinklas galėjo sukurti autentišką įmonių duomenų saugyklos Ši informacija gaunama per privačius pokalbius, susitikimuose bendrinamus dokumentus ir neteisėtą prieigą prie intraneto ar vidinių paslaugų. Ji yra itin vertinga parduodant juodosiose rinkose, taip pat šantažo kampanijoms ar nesąžiningai konkurencijai.
Europos valdžios institucijos bendradarbiauja su technologijų tiekėjais, siekdamos patobulinti plaukų priauginimo salonų aptikimo sistemas ir sustiprinti asmens duomenų naudojimo kontrolę. Tačiau ekspertai atkreipia dėmesį, kad jokia automatizuota sistema nėra neklystanti ir kad paskutinė gynybos linija išlieka vartotojas ir jo saugumo įpročiai.
Kaip apsisaugoti po didžiulės kibernetinės atakos prieš „Chrome“ ir „Edge“
Atsižvelgiant į tokį užsitęsusį ir sudėtingą scenarijų, kibernetinio saugumo ekspertai rekomenduoja imtis neatidėliotinų priemonių sumažinti poveikį atakos ir užkirsti kelią tolesnėms infekcijoms, ypač tarp „Chrome“ ir „Edge“ naudotojų Ispanijoje ir likusioje Europoje.
Pirmas žingsnis yra atlikti išsamus plėtinių auditas Šie priedai įdiegiami visose naršyklėse. Patartina juos peržiūrėti po vieną ir pašalinti visus priedus, kurie nėra atpažįstami, nėra reguliariai naudojami arba nėra iš patikimo kūrėjo. Kilus abejonių, geriausia pašalinti ir iš naujo įdiegti tik iš oficialaus teikėjo šaltinio, jei tai absoliučiai būtina.
Taip pat svarbu patikrinti, ar naršyklė yra atnaujinta į naujausią turimą versijąTiek „Google“, tiek „Microsoft“ įdiegė pataisas, skirtas blokuoti kai kuriuos „DarkSpectre“ naudojamus metodus, todėl naujausiose versijose yra konkrečių patobulinimų, susijusių su įtartino elgesio aptikimu ir plėtinių leidimų valdymu.
Kalbant apie internetines paskyras, rekomenduojama pakeisti svarbių paslaugų slaptažodžiai (el. paštas, internetinė bankininkystė, socialinė žiniasklaida, įmonės įrankiai), jei įtariama, kad buvo naudojamas pažeistas plėtinys. Patartina pasinaudoti šia proga ir kiekvienai paslaugai naudoti unikalius ir stiprius slaptažodžius, geriausia – slaptažodžių tvarkyklės pagalba.
Be to, specialistai primygtinai reikalauja aktyvuoti dviejų veiksnių autentifikavimas (2FA) kai tik įmanoma. Šis mechanizmas prideda papildomą apsaugos sluoksnį, todėl net jei užpuolikas gauna slaptažodį, jam bus daug sunkiau pasiekti paskyrą be laikino kodo arba antrojo patvirtinimo elemento.
Galiausiai, organizacijoms, kurios labai priklauso nuo tokių platformų kaip „Zoom“, „Teams“ ar „Google Meet“, rekomenduojama įdiegti periodinės įdiegtų priestatų patikros įmonių naršyklėse, įgyvendinti saugumo politiką kurie riboja neleistinų priedų diegimą ir apmoko darbuotojus aptikti galimas sukčiavimo schemas tiek plėtiniuose, tiek el. laiškuose ar nuorodose, kurios gali būti pridedamos prie panašių kampanijų.
Viskas, kas buvo atrasta apie „DarkSpectre“ ir jos kampanijas „ShadyPanda“, „GhostPoster“ bei „Zoom Stealer“, atspindi, kiek Naršyklės plėtiniai tapo prioritetiniu taikiniu Kibernetiniams nusikaltėliams pasitikėjimas oficialiomis parduotuvėmis, naudingos funkcijos ir suklastotos apžvalgos leido daugelį metų vykdyti tylią ataką, turinčią didžiulį poveikį individualiems vartotojams ir įmonėms. Tai verčia mus permąstyti, kaip diegiame ir tvarkome šiuos priedus savo kasdieniame skaitmeniniame gyvenime.
