Η εταιρεία κυβερνοασφάλειας Koi ακάλυπτος DarkSpectre, μια κινεζική επιχείρηση που συνέδεσε πολλές κακόβουλες καμπάνιες μέσω επεκτάσεων προγράμματος περιήγησης στο Chrome, το Edge και τον Firefox, μολύνοντας πάνω από 8,8 εκατομμύρια χρήστες μέσω εκατοντάδων φαινομενικά νόμιμων πρόσθετων για επτά χρόνια.
Οι ερευνητές του Koi εντόπισαν για πρώτη φορά το DarkSpectre κατά τη διάρκεια της έρευνάς τους για το ShadyPanda, μια καμπάνια που χρησιμοποίησε δημοφιλείς επεκτάσεις Chrome και Edge για να μολύνει πάνω από τέσσερα εκατομμύρια συσκευές. Η ανάλυση έδειξε ότι το ShadyPanda αποτελούσε ένα μέρος μιας τριπλής επιχείρησης, με όλες τις καμπάνιες να χρησιμοποιούν παρόμοιες μεθόδους και να επιδιώκουν ευθυγραμμισμένους κακόβουλους στόχους. Οι ερευνητές εντόπισαν την υποδομή του ShadyPanda σε κοινόχρηστους κρυφούς τομείς, οι οποίοι συνδέονταν με επεκτάσεις που διανέμονταν σε αγορές προγραμμάτων περιήγησης για Firefox, Edge και Chrome.
Το DarkSpectre περιλάμβανε τρεις κύριες καμπάνιες:
- Zoom Stealer: μόλυνε 2,2 εκατομμύρια χρήστες σε Firefox, Chrome και Edge.
- ShadyPanda: επηρέασε 5,6 εκατομμύρια χρήστες σε Firefox, Chrome και Edge.
- GhostPoster: επηρέασε 1,05 εκατομμύρια περιπτώσεις Firefox.
Αυτές οι επεκτάσεις παρουσίασαν μια νόμιμη εμφάνιση, η οποία επέτρεπε στους χρήστες να τις εγκαταστήσουν χωρίς να προκαλούν υποψίες. Η επιχείρηση καθυστέρησε την ενεργοποίηση, καθώς Κινέζοι χάκερ παρέδωσαν το κακόβουλο ωφέλιμο φορτίο από διακομιστές εντολών και ελέγχου χρησιμοποιώντας κρυφό κώδικα JavaScript. Κάθε μία από τις τρεις καμπάνιες στόχευε διαφορετικούς τύπους χρηστών.
Ο Koi διαπίστωσε ότι το ShadyPanda επικεντρώθηκε σε μεγάλης κλίμακας επιτήρηση και απάτη συνεργατών. Οι επεκτάσεις του λειτουργούσαν χωρίς προβλήματα για αρκετά χρόνια μέχρι που οι χάκερ τις όπλισαν. Αυτή η διαδικασία περιλάμβανε χρονικά καθυστερημένη ενεργοποίηση σε συνδυασμό με απομακρυσμένη ένεση κωδικού.
Στην καμπάνια Trojan Image, οι εισβολείς ενσωμάτωσαν ένα κρυφό ωφέλιμο φορτίο σε ένα αρχείο εικονιδίων PNG μέσω τεχνικών στεγανογραφίας. Οι επηρεαζόμενες επεκτάσεις φόρτωσαν αυτήν την εικόνα, εξήγαγαν τον κρυφό κώδικα JavaScript από αυτήν και εκτέλεσαν το ωφέλιμο φορτίο ακριβώς 48 ώρες μετά τη φόρτωση.
Το DarkSpectre εκμεταλλεύτηκε ένα ευρύ φάσμα επεκτάσεων προγράμματος περιήγησης, πολλές από τις οποίες σχετίζονται με τηλεδιάσκεψη και λήψη πολυμέσων. Η πλήρης λίστα περιλαμβάνει:
- Λήψη ήχου Chrome
- ZED: Zoom Easy Downloader
- Πρόγραμμα λήψης βίντεο X (Twitter).
- Google Meet Auto Admit
- Zoom.us Εμφάνιση πάντα “Συμμετοχή από τον Ιστό”
- Χρονόμετρο για το Google Meet
- CVR: Συσκευή εγγραφής βίντεο Chrome
- Λήψη εγγραφών GoToWebinar & GoToMeeting
- Γνωρίστε την Auto Admit
- Google Meet Tweak (Emoji, κείμενο, εφέ κάμερας)
- Σίγαση όλων στο Meet
- Google Meet Push-To-Talk
- Photo Downloader για Facebook, Instagram
- Επέκταση Zoomcoder
- Αυτόματη εγγραφή στο Google Meet
- Edge Audio Capture (Edge)
- Twitter X Video Downloader (Firefox)
- Νέα καρτέλα – Προσαρμοσμένος πίνακας εργαλείων (Edge)
- «Google Translate» από τον charliesmithbons
Το Zoom Stealer στόχευε ειδικά στην ευφυΐα εταιρικών συναντήσεων και υποστήριξε περισσότερες από 28 πλατφόρμες τηλεδιάσκεψης. Χρησιμοποίησε εξαγωγή δεδομένων σε πραγματικό χρόνο με βάση το WebSocket για πρόσβαση σε συνδέσμους συσκέψεων, διαπιστευτήρια, φακέλους και άλλες ευαίσθητες εταιρικές πληροφορίες.
Οι δείκτες έδειξαν ότι το DarkSpectre είναι το έργο μιας ομάδας που χρηματοδοτείται από το κράτος με αρκετή πόρων. Οι ηθοποιοί φιλοξενούσαν διακομιστές εντολών και ελέγχου με συνέπεια στην υποδομή Alibaba Cloud. Επίσης, βασίστηκαν σε παρόχους περιεχομένου Διαδικτύου με έδρα την Κίνα για τις λειτουργίες τους. Οι συμβολοσειρές στην κινεζική γλώσσα εμφανίστηκαν σε όλη τη βάση κώδικα των κακόβουλων στοιχείων.
«Ο συνδυασμός υπομονής, κλίμακας, τεχνικής πολυπλοκότητας και επιχειρησιακής ποικιλομορφίας δείχνει έναν αντίπαλο με σημαντικούς πόρους και μακροπρόθεσμους στρατηγικούς στόχους», κατέληξαν οι αναλυτές.
VIA: DataConomy.com
