El actor de amenazas detrás de dos campañas maliciosas de extensión de navegador, Panda sombrío y Póster Ghost , se ha atribuido a una tercera campaña de ataque con el nombre en código DarkSpectre que ha afectado a 2,2 millones de usuarios de Google Chrome, Microsoft Edge y Mozilla Firefox.
La actividad es juzgado para ser obra de un actor de amenazas chino al que Koi Security está rastreando con el apodo Espectro oscuro . En total, las campañas han afectado colectivamente a más de 8,8 millones de usuarios durante un período de más de siete años.
ShadyPanda fue desenmascarado por primera vez por la empresa de ciberseguridad a principios de este mes por atacar a los tres usuarios del navegador para facilitar el robo de datos, el secuestro de consultas de búsqueda y el fraude de afiliados. Se ha descubierto que afecta a 5,6 millones de usuarios, incluidas 1,3 víctimas recientemente identificadas, que provienen de más de 100 extensiones marcadas como conectadas al mismo clúster.
También incluye un complemento de Edge llamado «Nueva pestaña: panel personalizado» que incluye una bomba lógica que espera tres días antes de activar su comportamiento malicioso. La activación retrasada es un intento de dar la impresión de que es legítima durante el período de revisión y conseguir que se apruebe.
Nueve de estas extensiones están activas actualmente, con 85 «durmientes inactivas» adicionales que son benignas y están destinadas a atraer a una base de usuarios antes de que se conviertan en armas mediante actualizaciones maliciosas. Koi dijo que, en algunos casos, las actualizaciones se introdujeron después de más de cinco años.
La segunda campaña, GhostPoster, se centra principalmente en los usuarios de Firefox y se dirige a ellos con utilidades y herramientas de VPN aparentemente inofensivas para publicar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraudes publicitarios y de clics. Tras una investigación más profunda sobre esta actividad, se han descubierto más complementos para navegadores, incluida una extensión para Opera del Traductor de Google (desarrollada por «charliesmithbons»), con casi un millón de descargas.
La tercera campaña lanzada por DarkSpectre es The Zoom Stealer, que incluye un conjunto de 18 extensiones en Chrome, Edge y Firefox que están orientadas a la inteligencia de las reuniones corporativas mediante la recopilación de datos relacionados con las reuniones en línea, como las URL de las reuniones con contraseñas integradas, identificadores de reuniones, temas, descripciones, horarios programados y estado de registro.
La lista de extensiones identificadas y sus ID correspondientes se encuentra a continuación:
Google Chrome -
- Captura de audio en Chrome (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Descargador fácil de Zoom (pdadlkbckhinonakkfkdaadceojbekep)
- Descargador de vídeos de X (Twitter) (akmdionenlnfcipmdhbhcnkighafmdha)
- Admisión automática de Google Meet (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us siempre muestra «Unirse desde la web» (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Temporizador para Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: grabadora de vídeo Chrome (kabbfhmcaaodobkfbnnehopcghicgffo)
- Grabaciones de descarga de GoToWebinar y GoToMeeting (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Conoce la admisión automática (ceofheakaalaecnecdkdanhejojkpeai)
- Google Meet Tweak (emojis, texto, efectos de cámara) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Silenciar todo en Meet (adjoknoacleghaejlggocbakidkoifle)
- Pulsa para hablar en Google Meet (pgpidfocdapogajplhjofamgeboonmmj)
- Descargador de fotos para Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Extensión Zoomcoder (ebhomdageggjbmomenipfbhcjamfkmbl)
- Unirse automáticamente a Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Edge -
- Captura de audio perimetral (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox -
- Descargador de vídeos de Twitter X ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, publicado por «invaliddejavu»)
- x-video-downloader (xtwitterdownloader@benimaddonum.com, publicado por «invaliddejavu»)
Como lo demuestran los nombres de las extensiones, la mayoría de ellas están diseñadas para imitar las herramientas de aplicaciones de videoconferencia orientadas a la empresa, como Google Meet, Zoom y GoTo Webinar, para filtrar los enlaces de las reuniones, las credenciales y las listas de participantes a través de una conexión WebSocket en tiempo real.
También es capaz de recopilar detalles sobre los ponentes y anfitriones de los webinars, como nombres, títulos, biografías, fotos de perfil y afiliaciones empresariales, junto con logotipos, gráficos promocionales y metadatos de la sesión, cada vez que un usuario visita la página de registro de un webinar a través del navegador con una de las extensiones instaladas.
Se ha descubierto que estos complementos solicitan acceso a más de 28 plataformas de videoconferencia, incluidas Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams y Zoom, entre otras, independientemente de si primero necesitaron acceder a ellas.
«Esto no es fraude al consumidor, es infraestructura de espionaje corporativo», dijeron los investigadores Tuval Admoni y Gal Hachamov. «El Zoom Stealer representa algo más específico: la recopilación sistemática de información sobre reuniones corporativas. Los usuarios obtuvieron lo que se anunciaba. Las extensiones se ganaron la confianza y las críticas positivas. Mientras tanto, la vigilancia se desarrollaba silenciosamente en segundo plano».
La empresa de ciberseguridad dijo que la información recopilada podría usarse para alimentar el espionaje corporativo mediante la venta de los datos a otros actores maliciosos y permitir operaciones de ingeniería social y suplantación de identidad a gran escala.
Los vínculos chinos con la operación se basan en varias pistas: el uso constante de servidores de comando y control (C2) alojados en Alibaba Cloud, los registros de proveedores de contenido de Internet (ICP) vinculados a provincias chinas como Hubei, los artefactos de código que contienen cadenas y comentarios en chino y los esquemas de fraude dirigidos específicamente a plataformas de comercio electrónico chinas como JD.com y Taobao.
«Es probable que DarkSpectre tenga más infraestructura en este momento, extensiones que parecen completamente legítimas porque son legítimas, por ahora», dijo Koi. «Todavía están en la fase de creación de confianza, acumulando usuarios, ganando insignias y esperando».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS