Przez ponad siedem lat z rzęduZakrojona na szeroką skalę operacja cyberprzestępcza zdołała zinfiltrować główne przeglądarki na rynku, w tym Google Chrome i Microsoft Edge, za pomocą pozornie nieszkodliwych rozszerzeń. Zakres ataku jest tak duży, że szacuje się, że… co najmniej 8,8 miliona użytkowników Ludzie na całym świecie mogli zostać dotknięci tą sytuacją, wielu z nich mieszka w Europie i Hiszpanii.
Śledztwo, prowadzone przez specjalistów ds. cyberbezpieczeństwa, takich jak firma Koi.aiodkrył wysoce zorganizowaną sieć przestępczą, określaną jako Mroczny Spectrektóry rzekomo wykorzystał zaufanie do oficjalnych sklepów z rozszerzeniami do dystrybucji złośliwego oprogramowania. Najbardziej niepokojącym aspektem jest to, że Większość osób dotkniętych tą sytuacją nie miała żadnych podejrzeń. że ich dane bankowe, dane uwierzytelniające lub informacje korporacyjne są przechwytywane w tle.
Cichy atak wykorzystujący rozszerzenia Chrome i Edge
Według danych ujawnionych przez badaczy DarkSpectre zbudował złożoną infrastrukturę do publikowania i utrzymywania prawie 300 złośliwych rozszerzeń w oficjalnych sklepach Chrome, Edge, Firefox i Opera. Wiele z tych rozszerzeń było prezentowanych jako bardzo codzienne narzędzia: od menedżerów kart i tłumaczy, po blokery reklam lub narzędzia zwiększające produktywność.
Sztuką było początkowo oferować legalne funkcje, co pozwalało na zwiększenie liczby pobrań i uzyskanie dobrej reputacji. sztucznie generowane pozytywne recenzje i ocenyGdy rozszerzenia dotarły do znacznej liczby użytkowników, atakujący rozpoczęli ich dystrybucję ukryte aktualizacje który włączał złośliwy kod bez zauważenia przez użytkownika żadnych widocznych zmian w jego działaniu.
W przypadku przeglądarek opartych na Chromium, takich jak Google Chrome i Microsoft EdgeWykryto sieć rozszerzeń typu koń trojański podszywających się pod narzędzia do personalizacji lub blokery reklam. Zidentyfikowano co najmniej jedną fazę ataku. 30 szczególnie popularnych rozszerzeń zdolny do kradzieży danych uwierzytelniających banki, haseł do mediów społecznościowych i danych z formularzy autouzupełniania, a następnie wysyłania wszystkich tych informacji w czasie rzeczywistym na serwery kontrolowane przez cyberprzestępców.
Oprócz kradzieży danych, kilka z tych rozszerzeń zawierało funkcje wstrzykiwanie reklam i przekierowywanie wyszukiwaniaUmożliwiło to wyświetlanie natarczywych reklam, przekierowywanie użytkowników na strony phishingowe i zwiększenie możliwości oszustwa, w tym podszywania się pod strony banków lub usług płatniczych powszechnie stosowanych w Hiszpanii i innych krajach europejskich.
Ponad 8,8 miliona ofiar i trzy duże skoordynowane kampanie
Skala ataku znajduje odzwierciedlenie w liczbach obsługiwanych przez służby wywiadowcze i firmy zajmujące się cyberbezpieczeństwem: szacuje się, że 8,8 mln użytkowników Na ich działalność wpłynęły na całym świecie różne kampanie związane z DarkSpectre. Aby to osiągnąć, grupa rzekomo utrzymywała trzy różne linie ataku, znany jako ShadyPanda, GhostPoster i Zoom Stealer.
kampania ShadyPanda Był najbardziej agresywny pod względem wolumenu. Przez ponad 100 złośliwych rozszerzeń, którego głównym celem jest manipulowanie ruchem w handlu elektronicznym, naraziłby na szwank dane około 5,6 milionów użytkownikówPo aktywacji ukrytych funkcji rozszerzenia te mogły modyfikować linki w portalach zakupowych, przekierowywać płatności na fałszywe strony lub wstrzykiwać dodatkowy kod, aby nadal śledzić aktywność użytkowników.
Eksperci wskazują, że manewry te dotknęły sklepy internetowe i powszechnie używane w Unii Europejskiej usługi płatnicze, otwierając drzwi transgraniczne oszustwa finansowe oraz potencjalne problemy z przestrzeganiem przepisów w przypadku platform, które nie wykryły na czas manipulacji ruchem.
Druga główna ofensywa, zwana GhostPosterJego głównym celem były przeglądarki Firefox i Operaktóry miał nieco mniej rygorystyczne kontrole bezpieczeństwa niż Chrome i Edge. W tym przypadku czynnikiem różnicującym było użycie steganografiaNapastnicy ukryli złośliwy kod JavaScript w plikach obrazów PNG, co pozwoliło im na wykonywanie zdalnych instrukcji i pobieranie nowych modułów złośliwego oprogramowania bez wzbudzania podejrzeń.
Jednym z najbardziej uderzających przykładów było klonowanie rozszerzenia Tłumacz Google dla Operyktóry na pierwszy rzut oka wydawał się legalnym narzędziem. Jednak za kulisami zainstalował furtkę, używając iframe Ukryty, wyłączał zabezpieczenia przeglądarki przed oszustwami i nawiązywał połączenie z serwerami wcześniej powiązanymi z innymi operacjami DarkSpectre, tworząc stały kanał dostępu do systemu ofiary.
Zoom Stealer: skok w szpiegostwo podczas korporacyjnych rozmów wideo
Trzecia faza ataku, zidentyfikowana jako Złodziej Zoomu, wykonał jakościowy skok, skupiając się całkowicie na Środowisko biznesoweDo końca 2025 roku naukowcy wykryli co najmniej 18 konkretnych rozszerzeń skierowane do platform wideokonferencyjnych, takich jak Zoom, Microsoft Teams i Google Meet, z szacowanym wpływem na 2,2 mln użytkowników.
Te rozszerzenia były promowane jako idealne uzupełnienie telepracy i spotkań zdalnych: obiecywały podsumowuj filmy, zapisuj interesujące linki, generuj listy uczestników lub generuj automatyczne podsumowanie każdej sesji. Bardzo atrakcyjny profil dla hiszpańskich i europejskich firm, które w ostatnich latach skonsolidowały pracę hybrydową i zdalną.
Po zainstalowaniu narzędzia zaczęły działać przechwytywanie krytycznych informacji z połączeń wideo: łącza dostępu, identyfikatory spotkań, hasła gości, a w niektórych przypadkach udostępniane treści lub metadane związane z prezentacjami i dokumentami omawianymi w trakcie sesji.
Dzięki tym danym atakujący mogli uzyskać dostęp do prywatnych spotkań, z których wiele odbywało się na wysokim szczeblu, i tworzyć repozytoria wywiad zawodowy i handlowy o ogromnym znaczeniu strategicznym. Według skonsultowanych źródeł, komunikacja wewnętrzna dotycząca planów biznesowych, umów inwestycyjnych, strategii rynkowych i innych kwestii o dużym znaczeniu dla konkurencyjności zaangażowanych firm została naruszona.
Równocześnie Zoom Stealer wykorzystał szerokie uprawnienia przyznane rozszerzeniom do przeprowadzenia eksfiltracja danych uwierzytelniających w czasie rzeczywistymObejmowało to dane uwierzytelniające do firm, klucze dostępu do narzędzi w chmurze i profile zawodowe, które następnie mogły zostać ponownie wykorzystane w ukierunkowanych atakach, takich jak wysoce spersonalizowane kampanie phishingowe przeciwko pracownikom europejskich organizacji.
Wpływ na użytkowników i firmy w Europie i Hiszpanii
Sprawa DarkSpectre pokazała, w jakim stopniu zaufana sieć sklepów z przedłużaniem włosów Może to stanowić lukę dla obywateli i organizacji. Chociaż atak miał zasięg globalny, europejskie władze i zespoły reagowania na incydenty w kilku krajach, w tym w Hiszpanii, uważnie monitorują jego wpływ na lokalnych użytkowników.
Dla poszczególnych użytkowników konsekwencje te oznaczają: tajny nadzór nad nim aktywność onlineMożliwe kradzieże tożsamości, nieautoryzowane obciążenia za zakupy online i wycieki danych osobowych, które mogą trafić na tajne fora. Wiele ofiar nawet nie zdaje sobie sprawy, że padło ofiarą ataku, ponieważ większość rozszerzeń działała normalnie.
W sferze korporacyjnej cios jest jeszcze poważniejszy. Europejskie firmy, które w dużej mierze opierają swoją działalność na narzędziach chmurowych i wideokonferencjach, stoją w obliczu ryzyko szpiegostwa przemysłowegoWycieki umów strategicznych i ujawnienie poufnych informacji o klientach, dostawcach i partnerach. Ponadto firmy mogą być zobowiązane do zgłaszania incydentów bezpieczeństwa na mocy przepisów, takich jak Ogólne rozporządzenie o ochronie danych (RGPD)zakładając koszty utraty reputacji i możliwe sankcje.
Wstępne raporty wskazują, że sieć przestępcza mogła zbudować autentyczne korporacyjne magazyny danych Informacje te są pozyskiwane poprzez prywatne rozmowy, dokumenty udostępniane na spotkaniach oraz nieautoryzowany dostęp do intranetów lub usług wewnętrznych. Są one niezwykle cenne w przypadku sprzedaży na czarnym rynku, a także w kampaniach szantażu lub nieuczciwej konkurencji.
Władze europejskie współpracują z dostawcami technologii, aby ulepszyć systemy wykrywania w salonach przedłużania włosów i wzmocnić kontrolę nad wykorzystaniem danych osobowych. Eksperci zwracają jednak uwagę, że żaden zautomatyzowany system nie jest nieomylny a ostatnią linią obrony pozostaje użytkownik i jego nawyki związane z bezpieczeństwem.
Jak chronić się po masowym cyberataku na przeglądarki Chrome i Edge
W obliczu tak długotrwałego i skomplikowanego scenariusza eksperci ds. cyberbezpieczeństwa zalecają podjęcie szeregu natychmiastowych działań w celu: zmniejszyć wpływ ataku i zapobiec dalszym zakażeniom, zwłaszcza wśród użytkowników przeglądarek Chrome i Edge w Hiszpanii i pozostałych krajach Europy.
Pierwszym krokiem jest wykonanie pełny audyt rozszerzeń Te dodatki są zainstalowane we wszystkich przeglądarkach. Zaleca się ich regularne sprawdzanie i odinstalowywanie dodatków, które nie są rozpoznawane, nie są regularnie używane lub nie pochodzą od zaufanego twórcy. W razie wątpliwości najlepiej odinstalować je i zainstalować ponownie tylko z oficjalnego źródła, jeśli jest to absolutnie konieczne.
Należy również sprawdzić, czy przeglądarka jest zaktualizowano do najnowszej dostępnej wersjiZarówno Google, jak i Microsoft wprowadzają poprawki blokujące niektóre techniki wykorzystywane przez DarkSpectre, dlatego najnowsze wersje zawierają konkretne usprawnienia w zakresie wykrywania podejrzanego zachowania i zarządzania uprawnieniami rozszerzeń.
W przypadku kont internetowych zaleca się zmianę hasła do kluczowych usług (poczta e-mail, bankowość internetowa, media społecznościowe, narzędzia firmowe), jeśli istnieje podejrzenie użycia zainfekowanego rozszerzenia. Zaleca się skorzystanie z tej okazji i używanie unikalnych i silnych haseł do każdej usługi, najlepiej z pomocą menedżera haseł.
Ponadto specjaliści nalegają na aktywację uwierzytelnianie dwuskładnikowe (2FA) Zawsze, gdy to możliwe. Ten mechanizm dodaje dodatkową warstwę ochrony, dzięki czemu nawet jeśli atakujący uzyska hasło, dostęp do konta będzie dla niego znacznie trudniejszy bez kodu tymczasowego lub drugiego elementu weryfikacyjnego.
Na koniec, w przypadku organizacji, które w dużym stopniu polegają na platformach takich jak Zoom, Teams lub Google Meet, zaleca się wdrożenie okresowe kontrole zainstalowanych rozszerzeń w przeglądarkach korporacyjnych, wdrażać zasady bezpieczeństwa które ograniczają instalację nieautoryzowanych dodatków i szkolą pracowników w zakresie wykrywania potencjalnych oszustw, zarówno w rozszerzeniach, jak i w wiadomościach e-mail lub linkach, które mogą towarzyszyć podobnym kampaniom.
Wszystko, co odkryto na temat DarkSpectre i jego kampanii ShadyPanda, GhostPoster i Zoom Stealer, odzwierciedla stopień, w jakim Rozszerzenia przeglądarek stały się priorytetowym celem Połączenie zaufania do oficjalnych sklepów, przydatnych funkcji i zmanipulowanych recenzji pozwoliło cyberprzestępcom na prowadzenie przez lata cichego ataku, który miał ogromny wpływ na użytkowników i firmy. Zmusza nas to do ponownego przemyślenia sposobu, w jaki instalujemy i zarządzamy tymi dodatkami w naszym codziennym cyfrowym życiu.
