Przez siedem lat nieświadomi użytkownicy przeglądarek instalowali rozszerzenia, które zamieniały ich komputery w narzędzia szpiegowskie. Eksperci z Koi Security ujawnili kulisy operacji DarkSpectre – skoordynowanego ataku przypisywanego chińskim hakerom, który objął blisko 9 milionów osób i firm.
Raport opublikowany 29 grudnia rzuca nowe światło na zagrożenia czyhające w oficjalnych sklepach z dodatkami. Śledczy z Koi Security opisali rozbudowaną sieć złośliwego oprogramowania, celującą w użytkowników przeglądarek Chrome, Edge oraz Firefox. Głównym celem trwającej od lat kampanii było szpiegostwo korporacyjne, a narzędziem – pozornie niewinne, a w rzeczywistości „uzbrojone” rozszerzenia.
Trzy macki tej samej ośmiornicy
Według ustaleń badaczy, za operacją DarkSpectre stoi jeden podmiot, który zarządzał trzema powiązanymi kampaniami: ShadyPanda, Zoom Stealer oraz GhostPoster. Choć każda z nich miała inną specyfikę, łączyła je wspólna infrastruktura dowodzenia i kontroli (C2), oparta m.in. na domenach infinitynewtab.com i infinitytab.com.
Skala ataku jest imponująca. Kampania ShadyPanda dotknęła około 5,6 mln użytkowników, Zoom Stealer – 2,2 mln, a GhostPoster – ponad milion. To nie były działania niezależnych grup, lecz spójna strategia jednego operatora.
Cierpliwość kluczem do sukcesu
Tym, co wyróżniało DarkSpectre, była strategia długofalowego budowania zaufania. Część dodatków funkcjonowała jako w pełni bezpieczne narzędzia nawet przez pięć lat, zanim aktywowano w nich złośliwy kod.
Hakerzy stosowali mechanizm tzw. bomby zegarowej. Przykładowo, rozszerzenie „New Tab – Customized Dashboard” nawiązywało kontakt z serwerami operatorów dopiero trzy dni po instalacji. Co więcej, złośliwe funkcje uruchamiały się losowo – tylko przy co dziesiątym ładowaniu strony. Taka taktyka skutecznie usypiała czujność automatycznych systemów bezpieczeństwa.
W raporcie zidentyfikowano 9 aktywnie szkodliwych rozszerzeń oraz aż 85 tzw. „uśpionych agentów”. Te ostatnie w momencie analizy jedynie budowały bazę użytkowników, ale – jak ostrzega Koi Security – mogły zostać przekształcone w narzędzia inwigilacji w dowolnym momencie, poprzez jedną, niewidoczną dla użytkownika aktualizację.
Zoom Stealer: Szpieg na wideokonferencji
Szczególne zagrożenie dla sektora biznesowego stanowiła kampania Zoom Stealer. Aż 18 rozszerzeń podszywało się pod narzędzia usprawniające wideokonferencje. Ich celem było wykradanie wrażliwych danych z 28 platform, w tym z Zooma, Microsoft Teams czy Google Meet.
Oprogramowanie przechwytywało linki do spotkań, listy uczestników, dane prelegentów, a nawet informacje logowania. Skradzione dane były przesyłane w czasie rzeczywistym do zewnętrznych baz danych.
Steganografia, czyli kod ukryty w obrazku
W kampanii GhostPoster hakerzy sięgnęli po wyrafinowane techniki maskowania, w tym steganografię. Złośliwy kod JavaScript ukrywano wewnątrz plików graficznych PNG (np. w logotypach rozszerzeń), oddzielając go od właściwego obrazu specjalnymi znacznikami. Dla ludzkiego oka ikona wyglądała normalnie, a skanery antywirusowe często pomijały tak spreparowane pliki, traktując je jako nieszkodliwe grafiki.
