Los actores de amenazas detrás de dos campañas de extensiones de navegador maliciosas, ShadyPanda y GhostPoster, estaban detrás de una tercera campaña de ataque, con nombre en código DarkSpectre, que supuestamente afectó a 2,2 millones de usuarios de Google Chrome, Microsoft Edge y Mozilla Firefox.
Esta actividad se ha atribuido a un actor de amenazas chino y Koi Security la está rastreando con el nombre DarkSpectre. Estas campañas han impactado colectivamente a más de 8,8 millones de usuarios durante siete años.
ShadyPanda fue expuesto por primera vez por la firma de ciberseguridad a principios de este mes como objetivo a los usuarios de los tres navegadores para facilitar el robo de datos, el secuestro de consultas de búsqueda y el fraude de afiliados. Se descubrió que 5,6 millones de usuarios estaban afectados, incluidas 1,3 víctimas recientemente identificadas debido a más de 100 extensiones marcadas como conectadas al mismo clúster.
También incluye un complemento de Edge llamado «Nueva pestaña – Panel personalizado» con una bomba lógica que espera tres días antes de provocar un comportamiento malicioso. La activación retrasada es un intento de parecer legítimo y obtener aprobación durante el período de revisión.
Nueve de estas extensiones están actualmente activas, y otras 85 «dormidas» son benignas y están destinadas a atraer a la base de usuarios antes de ser utilizadas como armas mediante actualizaciones maliciosas. Coy dijo que en algunos casos las actualizaciones se introdujeron después de más de cinco años.
La segunda campaña, GhostPoster, se centra principalmente en los usuarios de Firefox, y se dirige a usuarios con utilidades y herramientas VPN aparentemente inocuas que entregan código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar códigos de seguimiento y cometer clics y fraude publicitario. Una investigación más profunda sobre esta actividad descubrió más complementos para el navegador, incluida una extensión para Google Translate (desarrollador «charliesmithbons») para Opera, que cuenta con casi 1 millón de instalaciones.
La tercera campaña lanzada por DarkSpectre es The Zoom Stealer. Incluye 18 extensiones en Chrome, Edge y Firefox destinadas a la inteligencia de reuniones empresariales mediante la recopilación de datos relacionados con reuniones en línea, como URL de reuniones con contraseña incorporada, ID de reuniones, temas, descripciones, horarios programados y estado de registro.
A continuación se muestra una lista de extensiones identificadas y sus ID correspondientes.
Google Chrome –
Captura de audio de Chrome (kfokdmfpdnokpmpbjhjbcabgligoelgp) ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep) Zoom.us Mostrar siempre unirse desde la Web (aedgpiecagcpmehhelbibfbgpfiafdkm) Temporizador de Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf) CVR: Grabador de video Chrome (kabbfhmcaaodobkfbnnehopcghicgffo) GoToWebinar y GoToMeeting Descargar grabaciones de (cphibdhgbdoekmkkcbbaoogedpfibeme) Aprobación automática en Meet (ceofheakaalaecnecdkdanhejojkpeai) Ajustar Google Meet (emoji, texto, efectos de cámara) (dakebdbeofhmlnmjlmhjdmmjmfohiicn) Silenciar todo en Meet (adjoknoacleghaejlggocbakidkoifle) Google Meet push To Talk (pgpidfocdapogajplhjofamgeboonmmj) Descargador de fotos para Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn) Extensión Zoomcoder (ebhomdageggjbmomenipfbhcjamfkmbl) Unirse automáticamente a Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Borde de Microsoft-
Captura de audio perimetral (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox-
Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, publicado por ‘invaliddejavu’) x-video-downloader (xtwitterdownloader@benimaddonum.com, publicado por ‘invaliddejavu’)
Como deja claro el nombre de la extensión, la mayoría de ellas están diseñadas para imitar herramientas en aplicaciones de videoconferencia empresarial como Google Meet, Zoom y GoTo Webinar para extraer enlaces de reuniones, credenciales y listas de participantes en tiempo real a través de una conexión WebSocket.
También podemos recopilar información detallada sobre el orador o anfitrión del seminario web, como nombre, cargo, biografía, foto de perfil y afiliación de la empresa, junto con el logotipo, gráficos promocionales y metadatos de la sesión, cada vez que un usuario accede a una página de registro de seminario web a través de un navegador que tiene una de nuestras extensiones instalada.
Se ha descubierto que estos complementos solicitan acceso a más de 28 plataformas de videoconferencia, incluidas Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams, Zoom y más, independientemente de si se requiere acceso en primer lugar.
«Esto no es un fraude al consumidor. Es una infraestructura para el espionaje corporativo», dijeron los investigadores Tubal Admoni y Gal Khachamov. «Zoom Stealer representa algo más específico, una recopilación sistemática de inteligencia de reuniones corporativas. Los usuarios obtuvieron lo que se anunciaba. La extensión ganó confianza y comentarios positivos, mientras que el monitoreo se realizó silenciosamente en segundo plano».
La firma de ciberseguridad dijo que la información recopilada podría usarse para facilitar el espionaje corporativo vendiéndola a otros malos actores, y podría permitir ingeniería social y operaciones de suplantación de identidad a gran escala.
La conexión de China con esta operación se basa en varias pistas. Estos incluyen el uso constante de servidores de comando y control (C2) alojados en Alibaba Cloud, el registro de proveedores de contenido de Internet (ICP) vinculados a provincias chinas como Hubei, artefactos de código que contienen cadenas y comentarios chinos y esquemas de fraude dirigidos específicamente a plataformas de comercio electrónico chinas como JD.com y Taobao.
«Es probable que DarkSpectre tenga más infraestructura ahora. En este punto, las extensiones son legales, por lo que parece completamente legal», dijo Koi. «Todavía están en la etapa de creación de confianza, reuniendo usuarios, obteniendo insignias y esperando».
Source link
