El actor de amenazas detrás de dos campañas de extensiones de navegador maliciosas, ShadyPanda y GhostPoster, ha sido atribuido a una tercera campaña de ataque con nombre en código DarkSpectre que ha afectado a 2,2 millones de usuarios de Google Chrome, Microsoft Edge y Mozilla Firefox.
Se considera que la actividad es obra de un actor de amenazas chino al que Koi Security está rastreando bajo el apodo. espectro confuso. En total, las campañas han afectado colectivamente a más de 8,8 millones de usuarios durante un período de más de siete primaveras.
ShadyPanda fue desenmascarado por primera vez por la compañía de ciberseguridad a principios de este mes como objetivo de los tres usuarios de navegadores para proveer el robo de datos, el secuestro de consultas de búsqueda y el fraude de afiliados. Se ha descubierto que afecta a 5,6 millones de usuarios, incluidas 1,3 víctimas recientemente identificadas derivadas de más de 100 extensiones marcadas como conectadas al mismo liga.
Esto todavía incluye un complemento de Edge llamado “Nueva pestaña – Panel personalizado” que presenta una bala razonamiento que retraso tres días antaño de desencadenar su comportamiento taimado. La activación retrasada es un intento de dar la impresión de que es legítima durante el período de revisión y obtener su aprobación.
Nueve de estas extensiones están actualmente activas, con 85 “durmientes” adicionales que son benignas y están destinadas a atraer una saco de usuarios antaño de que se conviertan en armas mediante actualizaciones maliciosas. Koi dijo que las actualizaciones se introdujeron posteriormente de más de cinco primaveras en algunos casos.
La segunda campaña, GhostPoster, se centra principalmente en los usuarios de Firefox, apuntándolos con utilidades aparentemente inofensivas y herramientas VPN para servir código JavaScript taimado diseñado para secuestrar enlaces de afiliados, inyectar códigos de seguimiento y cometer clics y fraude publicitario. Una investigación más profunda sobre la actividad ha descubierto más complementos para el navegador, incluida una extensión de Google Translate (desarrollador “charliesmithbons”) para Opera con casi un millón de instalaciones.
La tercera campaña montada por DarkSpectre es The Teleobjetivo Stealer, que incluye un conjunto de 18 extensiones en Chrome, Edge y Firefox que están orientadas a la inteligencia de reuniones corporativas mediante la compendio de datos relacionados con reuniones en término, como URL de reuniones con contraseñas integradas, ID de reuniones, temas, descripciones, horarios programados y estado de registro.
La nómina de extensiones identificadas y sus ID correspondientes se encuentra a continuación:
Google Chrome –
- Captura de audio de Chrome (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Teleobjetivo Easy Downloader (pdadlkbckhinonakkkfkdaadceojbekep)
- Descargador de vídeos X (Twitter) (akmdionenlnfcipmdhbhcnkighafmdha)
- Admisión cibernética de Google Meet (pabkjoplheapcclldpknfpcepheldbga)
- Teleobjetivo.us siempre muestra “Unirse desde la Web” (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Temporizador para Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Impresor de vídeo Chrome (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar y GoToMeeting Descargar grabaciones (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Conoce la admisión cibernética (ceofheakaalaecnecdkdanhejojkpeai)
- Ajuste de Google Meet (emojis, texto, pertenencias de cámara) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Silenciar a todos en Meet (adjoknoacleghaejlggocbakidkoifle)
- Pulsar para balbucir de Google Meet (pgpidfocdapogajplhjofamgeboonmmj)
- Descargador de fotos para Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Extensión de Zoomcoder (ebhomdageggjbmomenipfbhcjamfkmbl)
- Unirse automáticamente a Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Borde de Microsoft-
- Captura de audio perimetral (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox-
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, publicado por “invaliddejavu”)
- x-video-downloader (xtwitterdownloader@benimaddonum.com, publicado por “invaliddejavu”)
Como es evidente por los nombres de las extensiones, la mayoría de ellas están diseñadas para imitar herramientas para aplicaciones de videoconferencia orientadas a empresas como Google Meet, Teleobjetivo y GoTo Webinar para filtrar enlaces de reuniones, credenciales y listas de participantes a través de una conexión WebSocket en tiempo vivo.
Igualmente es capaz de compendiar detalles sobre los oradores y anfitriones de seminarios web, como nombres, títulos, biografías, fotos de perfil y afiliaciones de empresas, anejo con logotipos, gráficos promocionales y metadatos de sesiones, cada vez que un favorecido entrevista una página de registro de seminarios web a través del navegador con una de las extensiones instaladas.
Se ha descubierto que estos complementos solicitan acercamiento a más de 28 plataformas de videoconferencia, incluidas Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams y Teleobjetivo, entre otras, independientemente de si requirieron acercamiento a ellos en primer ocasión.
“Esto no es un fraude al consumidor, es una infraestructura de espionaje corporativo”, dijeron los investigadores Tuval Admoni y Gal Hachamov. “Teleobjetivo Stealer representa poco más específico: compendio sistemática de inteligencia de reuniones corporativas. Los usuarios obtuvieron lo que se anunciaba. Las extensiones ganaron confianza y críticas positivas. Mientras tanto, la vigilancia se realizaba silenciosamente en segundo plano”.
La empresa de ciberseguridad dijo que la información recopilada podría estar de moda para impulsar el espionaje corporativo vendiendo los datos a otros malos actores y permitir la ingeniería social y operaciones de suplantación de identidad a gran escalera.
Los vínculos chinos con la operación se basan en varias pistas: uso consistente de servidores de comando y control (C2) alojados en Alibaba Cloud, registros de proveedores de contenido de Internet (ICP) vinculados a provincias chinas como Hubei, artefactos de código que contienen cadenas y comentarios en chino, y esquemas de fraude dirigidos específicamente a plataformas de comercio electrónico chinas como JD.com y Taobao.
“Es probable que DarkSpectre tenga más infraestructura en este momento: extensiones que parecen completamente legítimas porque lo son, por ahora”, dijo Koi. “Todavía están en la grado de creación de confianza, acumulando usuarios, ganando insignias, esperando”.
