DarkSpectre: вредоносные расширения, эксфильтрация данных и 8,8 млн пользователей

DarkSpectre определяется как изощренный злоумышленник, ответственный за угрозу 8,8 млн браузерах путем развертывания различных вредоносных расширений браузера.

Новое исследование связывает широко развернутую операцию по заражению браузерных расширений с группой, известной как DarkSpectre. Исходный след ведёт к кампании ShadyPanda, в рамках которой обнаружено более 100 взаимосвязанных расширений. Особое внимание исследователей привлек кластер jt2x.com, через который осуществляется инфраструктура для command-and-control, загрузки конфигураций, exfiltration и схем affiliate fraud.

Три сценария атак

Аналитики выделяют три различных сценария операций DarkSpectre, каждый из которых нацелен на свою аудиторию и решает разные задачи:

• Долгосрочное внедрение (ShadyPanda) — законоподобные расширения публиковались и обслуживались годами, после чего одно обновление вооружало их возможностями для удалённого выполнения кода и подключения к command-and-control. Такой подход позволяет обойти проверяющие механизмы и сохранять расширения «чистыми» в ходе аудитов.
• GhostPoster — сценарий, ориентированный на скрытую доставку полезного контента пользователям Firefox, позволяющий оставаться незаметным и доставлять дополнительные модули или команды.
• Zoom Stealer — целенаправленный сбор корпоративной информации под видом инструментов повышения продуктивности, связанных с видеоконференциями; собирает ссылки на собрания, учётные данные, списки участников и данные о спикерах в реальном времени.

Масштаб и методы эксфильтрации

Набор расширений, замаскированных под утилиты для видеоконференций, нацелен на более чем 28 популярных платформ. Собранные данные сохраняются в реальном времени в базе Firebase и передаются через облачные функции Google, что придаёт операции видимость легитимности и формирует надёжную инфраструктуру для exfiltration.

По оценкам исследователей, объём информации о встречах, собранной от 2,2 млн пользователей, создает значительные риски для корпоративной безопасности, включая возможности для impersonation и шпионажа.

Активность кампаний и заражения

Только кампания ShadyPanda поразила более 4,3 млн пользователей. Операция характеризуется сочетанием активных и бездействующих расширений: активные — для немедленной exfiltration данных и affiliate fraud, бездействующие — могут быть активированы позднее, что показывает стратегический выжидательный подход операторов.

Атрибуция и инфраструктура

Атрибуция указывает на хорошо финансируемую и организованную группу, предположительно китайского происхождения. На это указывают:

• зависимость инфраструктуры от Alibaba Cloud;
• наличие элементов китайского языка в коде;
• стиль разработки, соответствующий известным китайским операционным моделям.

Это позволяет предположить, что DarkSpectre — высокоорганизованная структура, способная вести сложные и длительные операции, будь то государственно связанная группа или финансово мотивированная преступная организация.

Вывод

Описанная кампания демонстрирует, насколько опасными могут быть маскированные расширения браузеров: через годами поддерживаемые «легитимные» плагины злоумышленники получают канал для удалённого управления, сбора и эксфильтрации данных миллионов пользователей. Инфраструктура, опирающаяся на сервисы вроде Firebase и cloud functions, делает операции устойчивыми и трудными для обнаружения, создавая серьёзную угрозу корпоративной безопасности и приватности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.