El actor de amenazas detrás de dos campañas de extensiones de navegador maliciosas, ShadyPanda y GhostPoster, ha sido atribuido a una tercera campaña de ataque, con nombre en código DarkSpectre, que afectó a 2,2 millones de usuarios de Google Chrome, Microsoft Edge y Mozilla Firefox.
Se cree que la actividad es obra de un actor de amenazas chino que Koi Security está rastreando con este alias. espectro oscuro. En total, las campañas afectaron a más de 8,8 millones de usuarios durante un período de más de siete años.
La empresa de ciberseguridad reveló por primera vez a principios de este mes que ShadyPanda se dirige a los tres usuarios de navegadores para facilitar el robo de datos, el secuestro de consultas de búsqueda y el fraude de afiliados. Se descubrió que 5,6 millones de usuarios estaban afectados, incluidas 1,3 víctimas recientemente identificadas provenientes de más de 100 extensiones marcadas como asociadas con el mismo grupo.
Esto también incluye un complemento de Edge llamado Nueva pestaña: panel personalizado que tiene una bomba lógica que espera tres días antes de desencadenar su comportamiento malicioso. La activación retrasada es un intento de dar la impresión de que es legítima durante el período de verificación y obtener su aprobación.
Nueve de estas extensiones están actualmente activas, además de otras 85 “inactivas” que son inofensivas y están diseñadas para atraer una base de usuarios antes de ser utilizadas como arma mediante actualizaciones maliciosas. Koi dijo que las actualizaciones se implementaron más de cinco años después en algunos casos.
La segunda campaña, GhostPoster, se centra principalmente en los usuarios de Firefox y se dirige a ellos utilizando utilidades y herramientas VPN aparentemente inofensivas para entregar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar códigos de seguimiento y cometer clics y fraude publicitario. Una investigación más profunda sobre la actividad ha revelado complementos adicionales para el navegador, incluida una extensión de Google Translate (desarrollador “charliesmithbons”) para Opera con casi un millón de instalaciones.
La tercera campaña dirigida por DarkSpectre es “The Zoom Stealer”, que es una serie de 18 extensiones para Chrome, Edge y Firefox que apuntan a información de reuniones corporativas mediante la recopilación de datos de reuniones en línea, como URL de reuniones con contraseñas integradas, ID de reuniones, temas, descripciones, horarios programados y estados de registro.
La lista de extensiones identificadas y sus ID correspondientes se pueden encontrar a continuación:
Google Chrome –
- Captura de audio de Chrome (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkkfkdaadceojbekep)
- Descargador de vídeos X (Twitter) (akmdionenlnfcipmdhbhcnkighafmdha)
- Aprobación automática para Google Meet (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us siempre muestra “Unirse desde la Web” (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Temporizador para Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Grabador de vídeo Chrome (kabbfhmcaaodobkfbnnehopcghicgffo)
- Descargue las grabaciones de GoToWebinar y GoToMeeting (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Conozca la admisión automática (ceofheakaalaecnecdkdanhejojkpeai)
- Ajuste de Google Meet (emojis, texto, efectos de cámara) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Silenciar a todos en Meet (adjoknoacleghaejlggocbakidkoifle)
- Pulsar para hablar de Google Meet (pgpidfocdapogajplhjofamgeboonmmj)
- Descargador de fotos para Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Extensión de Zoomcoder (ebhomdageggjbmomenipfbhcjamfkmbl)
- Unirse automáticamente a Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Borde de Microsoft –
- Captura de audio perimetral (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox-
- x-video-downloader (xtwitterdownloader@benimaddonum.com, publicado por “invaliddejavu”)
Como indican los nombres de las extensiones, la mayoría de ellas están diseñadas para imitar herramientas para aplicaciones de videoconferencia orientadas a negocios, como Google Meet, Zoom y GoTo Webinar, para filtrar enlaces de reuniones, información de inicio de sesión y listas de asistentes a través de una conexión WebSocket en tiempo real.
También puede recopilar detalles sobre los oradores y anfitriones de seminarios web, como nombres, títulos, biografías, fotos de perfil y afiliaciones de empresas, junto con logotipos, gráficos promocionales y metadatos de sesiones, cada vez que un usuario visita una página de registro de seminarios web a través del navegador donde está instalada una de las extensiones.
Se descubrió que estos complementos solicitaban acceso a más de 28 plataformas de videoconferencia, incluidas Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams y Zoom, entre otras, independientemente de si requerían acceso a ellas.
“Esto no es fraude al consumidor, es infraestructura de espionaje corporativo”, dijeron los investigadores Tuval Admoni y Gal Hachamov. “Zoom Stealer representa algo más específico: la recopilación sistemática de información sobre reuniones corporativas. Los usuarios obtuvieron lo que se anunciaba. Las extensiones ganaron confianza y críticas positivas. Mientras tanto, el seguimiento se realizaba silenciosamente en segundo plano.”
La firma de ciberseguridad dijo que la información recopilada podría usarse para alimentar el espionaje corporativo vendiendo los datos a otros actores maliciosos y permitir operaciones de ingeniería social y falsificación de identidad a gran escala.
Los vínculos chinos con la operación se basan en varias pistas: el uso constante de servidores de comando y control (C2) alojados en Alibaba Cloud, registros de proveedores de contenido de Internet (ICP) vinculados a provincias chinas como Hubei, artefactos de código que contienen cadenas y comentarios en chino, y esquemas de fraude dirigidos específicamente a plataformas de comercio electrónico chinas como JD.com y Taobao.
“DarkSpectre probablemente tenga más infraestructura en este momento: extensiones que parecen completamente legítimas porque lo son por ahora”, dijo Koi. “Todavía están en la fase de generar confianza, acumular usuarios, obtener insignias y esperar”.
About The Author
