Tin tặc đứng sau hai chiến dịch tiện ích mở rộng trình duyệt độc hại, ShadyPanda và GhostPoster, đã được xác định là kẻ chủ mưu của chiến dịch tấn công thứ ba mang tên DarkSpectre, gây ảnh hưởng đến 2,2 triệu người dùng Google Chrome, Microsoft Edge và Mozilla Firefox.
Hoạt động này được đánh giá là do một tác nhân đe dọa người Trung Quốc thực hiện, được Koi Security theo dõi dưới biệt danh DarkSpectre. Tổng cộng, các chiến dịch này đã ảnh hưởng đến hơn 8,8 triệu người dùng trong khoảng thời gian hơn bảy năm.
ShadyPanda lần đầu tiên được công ty an ninh mạng này phát hiện vào đầu tháng, nhắm mục tiêu vào người dùng cả ba trình duyệt để thực hiện hành vi đánh cắp dữ liệu, chiếm quyền điều khiển truy vấn tìm kiếm và affiliate fraud. Nó đã được phát hiện ảnh hưởng đến 5,6 triệu người dùng, bao gồm 1,3 triệu nạn nhân mới được xác định từ hơn 100 extensions được gắn cờ là có liên quan đến cùng một nhóm.
Điều này cũng bao gồm một add-on của Edge có tên "New Tab - Customized Dashboard" có chứa một logic bomb chờ ba ngày trước khi kích hoạt hành vi độc hại của nó. Việc kích hoạt chậm trễ này là một nỗ lực nhằm tạo ấn tượng rằng nó hợp pháp trong thời gian review và được approve.
Chín trong số các extensions này hiện đang active, với 85 "dormant sleepers" bổ sung là lành tính và nhằm mục đích thu hút lượng người dùng trước khi chúng được weaponized thông qua các update độc hại. Koi cho biết các update đã được giới thiệu sau hơn năm năm trong một số trường hợp.
Chiến dịch thứ hai, GhostPoster, chủ yếu tập trung vào người dùng Firefox, nhắm mục tiêu vào họ bằng các tiện ích tưởng chừng vô hại và công cụ VPN để phân phát mã JavaScript độc hại được thiết kế để hijack affiliate links, inject tracking code, và commit click và ad fraud. Điều tra sâu hơn về hoạt động này đã phát hiện thêm các browser add-ons, bao gồm cả extension Google Translate (developer "charliesmithbons") cho Opera với gần một triệu lượt cài đặt.
Chiến dịch Zoom Stealer
Chiến dịch thứ ba do DarkSpectre thực hiện là The Zoom Stealer, liên quan đến một bộ 18 extensions trên Chrome, Edge và Firefox được thiết kế để thu thập corporate meeting intelligence bằng cách thu thập dữ liệu liên quan đến meeting online như meeting URLs với embedded passwords, meeting IDs, topics, descriptions, scheduled times, và registration status.
Danh sách các tiện ích mở rộng được xác định
Dưới đây là danh sách các tiện ích mở rộng được xác định và ID tương ứng của chúng:
Google Chrome
- Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep)
- X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha)
- Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us Always Show "Join From Web" (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai)
- Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Mute All on Meet (adjoknoacleghaejlggocbakidkoifle)
- Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj)
- Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl)
- Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Edge
- Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, published by "invaliddejavu")
- x-video-downloader ([email protected], published by "invaliddejavu")
Như có thể thấy từ tên của các extensions, phần lớn chúng được engineered để mimic các công cụ cho các enterprise-oriented videoconferencing applications như Google Meet, Zoom, và GoTo Webinar để exfiltrate meeting links, credentials, và participant lists qua kết nối WebSocket theo real-time.
Chúng cũng có capability thu thập details về webinar speakers và hosts, chẳng hạn như names, titles, bios, profile photos, và company affiliations, cùng với logos, promotional graphics, và session metadata, mỗi khi người dùng visits một webinar registration page qua browser có installed một trong các extensions này.
Các add-ons này đã được phát hiện yêu cầu access vào hơn 28 video conferencing platforms, bao gồm Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams, và Zoom, cùng nhiều nền tảng khác, bất kể chúng có required access vào các platforms đó ngay từ đầu hay không.
"Đây không phải là consumer fraud - đây là corporate espionage infrastructure," các nhà nghiên cứu Tuval Admoni và Gal Hachamov cho biết. "The Zoom Stealer đại diện cho một thứ có targeted cụ thể hơn: systematic collection of corporate meeting intelligence. Người dùng got what was advertised. Các extensions earned trust và positive reviews. Meanwhile, surveillance ran silently in the background."
Công ty an ninh mạng cho biết thông tin gathered có thể được used để fuel corporate espionage bằng cách selling dữ liệu cho các bad actors khác, và enable social engineering và large-scale impersonation operations.
Các Chinese links đến operation này dựa trên several clues: consistent use of command-and-control (C2) servers hosted trên Alibaba Cloud, Internet Content Provider (ICP) registrations linked đến Chinese provinces như Hồ Bắc, code artifacts containing Chinese-language strings và comments, và fraud schemes specifically aimed tại Chinese e-commerce platforms như JD.com và Taobao.
"DarkSpectre likely has more infrastructure in place right now - extensions that look completely legitimate because they are legitimate, for now," Koi said. "They're still in the trust-building phase, accumulating users, earning badges, waiting."
