Οι ερευνητές ανακάλυψαν το DarkSpectre, έναν καλά χρηματοδοτούμενο κινεζικό παράγοντα απειλών που είναι υπεύθυνος για τη μόλυνση περισσότερων από 8,8 εκατομμυρίων χρηστών σε προγράμματα περιήγησης Chrome, Edge και Firefox μέσω μιας σειράς εξαιρετικά συντονισμένων καμπανιών κακόβουλου λογισμικού που εκτείνονται επτά χρόνια.
Η ανακάλυψη αποκαλύπτει ένα επίπεδο λειτουργικής πολυπλοκότητας που σπάνια παρατηρείται στο τοπίο των απειλών, με την ομάδα να τρέχει ταυτόχρονα πολλαπλές διαφορετικές καμπάνιες, καθεμία από τις οποίες στοχεύει διαφορετικούς στόχους που κυμαίνονται από την απάτη των καταναλωτών έως την εταιρική κατασκοπεία.
Η λειτουργία αποτελείται από τρεις μεγάλες καμπάνιες: το ShadyPanda που επηρεάζει 5,6 εκατομμύρια χρήστες, τη νέα καμπάνια Zoom Stealer που στοχεύει σε 2,2 εκατομμύρια χρήστες και το GhostPoster που επηρεάζει 1,05 εκατομμύρια χρήστες.
Αντί να λειτουργούν ως ξεχωριστοί παράγοντες απειλών, οι ερευνητές επιβεβαίωσαν ότι αντιπροσωπεύουν μια ενιαία, εξαιρετικά οργανωμένη εγκληματική οργάνωση με σημαντικούς πόρους και δυνατότητες στρατηγικού σχεδιασμού.
Η ομάδα επιδεικνύει αξιοσημείωτη υπομονή, διατηρώντας τις νόμιμες επεκτάσεις του προγράμματος περιήγησης για πέντε ή περισσότερα χρόνια προτού τις οπλίσει με κακόβουλα ωφέλιμα φορτία.
Koi αναλυτές αναγνωρισθείς τη σύνδεση μεταξύ αυτών των καμπανιών κατά την ανάλυση της υποδομής που συνδέεται με το ShadyPanda.
Ανακάλυψαν ότι ενώ η ομάδα χρησιμοποιούσε δύο νόμιμους τομείς —infinitynewtab.com και infinitytab.com— για να τροφοδοτήσει πραγματικές δυνατότητες επέκτασης, όπως γραφικά στοιχεία καιρού και σελίδες νέων καρτελών, αυτοί οι ίδιοι τομείς συνδέονταν με εντελώς διαφορετική κακόβουλη υποδομή εντολών και ελέγχου.
Αυτή η έξυπνη τεχνική ενσωμάτωσης νόμιμων λειτουργιών μαζί με κρυμμένο κακόβουλο κώδικα έγινε το νήμα που συνδέει και τις τρεις λειτουργίες μαζί.
.webp.jpeg "Οι χάκερ του DarkSpectre μόλυναν 8,8 εκατομμύρια χρήστες Chrome, Edge και Firefox με κακόβουλο λογισμικό")
Η διαδικασία ανακάλυψης έμοιαζε με ένα πολύπλοκο ιστό. Ένας τομέας οδήγησε σε επεκτάσεις, οι οποίες αποκάλυψαν νέους τομείς, οι οποίοι συνδέονταν με πρόσθετες επεκτάσεις που λειτουργούσαν οι εκδότες με δεκάδες άλλα κακόβουλα εργαλεία.
Η επέκταση τελικά αποκάλυψε πάνω από 100 συνδεδεμένες επεκτάσεις σε πολλές αγορές προγραμμάτων περιήγησης.
Καθώς οι ερευνητές διερεύνησαν περαιτέρω, παρατήρησαν ότι ορισμένες επεκτάσεις που ανακαλύφθηκαν πρόσφατα επικοινωνούσαν με τομείς που είχαν ήδη επισημανθεί σε προηγούμενες έρευνες, επιβεβαιώνοντας ότι το ShadyPanda, το GhostPoster και το Zoom Stealer αντιπροσώπευαν έναν μεμονωμένο παράγοντα που λειτουργεί σε κλίμακα εθνικού κράτους.
Τακτικές ενεργοποίησης ωρολογιακής βόμβας και αποφυγής
Η πιο ανησυχητική πτυχή της μεθοδολογίας του DarkSpectre έγκειται στις εξελιγμένες τεχνικές επιμονής και ανίχνευσης-διαφυγής.
Η ομάδα χρησιμοποιεί αυτό που οι ερευνητές ονομάζουν επεκτάσεις «ωρολογιακής βόμβας»—κακόβουλα εργαλεία που παραμένουν σε αδράνεια για παρατεταμένες περιόδους προτού ενεργοποιήσουν το ωφέλιμο φορτίο τους.
Μια επέκταση που ονομάζεται «Νέα καρτέλα – Προσαρμοσμένος πίνακας εργαλείων» επιδεικνύει αυτήν την προσέγγιση περιμένοντας τρεις ημέρες μετά την εγκατάσταση προτού συνδεθείτε σε διακομιστές εντολών και ελέγχου για τη λήψη του πραγματικού κακόβουλου κώδικα.
Κατά τη διαδικασία ελέγχου, όταν οι αγορές αξιολογούν τις επεκτάσεις ως προς την ασφάλεια, αυτή η επέκταση φαίνεται απολύτως νόμιμη. Οι αναθεωρητές του προγράμματος περιήγησης δεν μπορούν να εντοπίσουν την κακόβουλη συμπεριφορά επειδή απλώς δεν ενεργοποιείται κατά τη διάρκεια της δοκιμής.
Η επέκταση ξεκινά τις κακόβουλες δραστηριότητές της μόνο αφού περάσει όλους τους ελέγχους ασφαλείας και φτάσει στο πρόγραμμα περιήγησης ενός πραγματικού χρήστη.
Για να αποφευχθεί περαιτέρω ο εντοπισμός, το κακόβουλο λογισμικό ενεργοποιείται μόνο στο δέκα τοις εκατό περίπου των φορτώσεων σελίδων, καθιστώντας εκθετικά δυσκολότερο τον εντοπισμό κατά τη διάρκεια δοκιμών ρουτίνας ή ανάλυσης.
.webp.png "Οι χάκερ του DarkSpectre μόλυναν 8,8 εκατομμύρια χρήστες Chrome, Edge και Firefox με κακόβουλο λογισμικό")
Η ίδια η παράδοση ωφέλιμου φορτίου παρουσιάζει προηγμένες τεχνικές συσκότισης. Το DarkSpectre συγκαλύπτει τον κακόβουλο κώδικα ως αρχεία εικόνας PNG, μια μέθοδο γνωστή ως steganography.
Η επέκταση φορτώνει το δικό της λογότυπο, εξάγει τον κρυφό κώδικα JavaScript που είναι ενσωματωμένος στο αρχείο εικόνας και τον εκτελεί αθόρυβα στο παρασκήνιο.
Το JavaScript είναι τυλιγμένο σε πολλαπλά επίπεδα προστασίας, συμπεριλαμβανομένης της προσαρμοσμένης κωδικοποίησης, της κρυπτογράφησης XOR και του πακέτου κώδικα που έχει σχεδιαστεί ειδικά για να νικήσει τα εργαλεία αυτοματοποιημένης ανίχνευσης.
Μόλις ενεργοποιηθεί, η επέκταση κατεβάζει περίπου εξήντα επτά kilobyte πρόσθετης κωδικοποιημένης JavaScript από τους διακομιστές των χειριστών, δίνοντας στους φορείς απειλών πλήρη έλεγχο του τι εκτελείται στο πρόγραμμα περιήγησης του χρήστη χωρίς να απαιτείται ενημέρωση επέκτασης που θα ενεργοποιούσε ξανά τη διαδικασία ελέγχου.
Αυτή η προσέγγιση που βασίζεται στη διαμόρφωση αντιπροσωπεύει την πραγματική καινοτομία στη λειτουργία του DarkSpectre. Αντί να πιέζουν τις ενημερώσεις για να αλλάξουν τη λειτουργικότητα – κάτι που θα ειδοποιούσε τους αναθεωρητές και τους χρήστες – οι χειριστές απλώς τροποποιούν τι επιστρέφουν οι διακομιστές τους όταν οι επεκτάσεις τηλεφωνούν στο σπίτι.
Οι αμυντικοί δεν μπορούν να καταπολεμήσουν την απειλή αποκλείοντας μία μόνο κακόβουλη ενημέρωση, επειδή ο παράγοντας απειλής αλλάζει δυναμικά το ωφέλιμο φορτίο στους διακομιστές υποστήριξης τους, διατηρώντας πλήρη λειτουργική ευελιξία.
