Czy kiedykolwiek zastanawiałeś się, czy rozszerzenia, które instalujesz w swojej przeglądarce, mogą ukrywać złośliwe zamiary? Podczas gdy codziennie przeglądamy Internet, niektóre grupy hakerów opracowują pomysłowe metody przekształcania pozornie niewinnych narzędzi w prawdziwe zagrożenia. Dowiedz się, jak grupa DarkSpectre wykorzystuje tę technikę do szpiegowania milionów użytkowników na całym świecie.
3 informacje, których nie można przegapić
- Grupa hakerów DarkSpectre zainfekowała około 8,8 miliona użytkowników na całym świecie.
- Kampania ZoomStealer przekształciła rozszerzenia produktywności w narzędzia szpiegowskie.
- Wskazówki techniczne sugerują zaangażowanie podmiotu związanego z Chinami.
DarkSpectre i jego metody infiltracji
Badacze z Koi Security zidentyfikowali grupę hakerów o nazwie DarkSpectre, która zainfekowała miliony użytkowników na całym świecie. Aktywna od ponad siedmiu lat, ta grupa specjalizuje się w infekowaniu przeglądarek internetowych poprzez publikowanie darmowych i przydatnych rozszerzeń.
Ich strategia polega na zdobywaniu zaufania użytkowników, a następnie przekształcaniu tych rozszerzeń w złośliwe oprogramowanie poprzez aktualizacje. Ten schemat został zastosowany na rynkach rozszerzeń przeglądarek takich jak Chrome, Firefox i Opera.
Kampania ZoomStealer: ukierunkowane szpiegostwo
Wśród ostatnich operacji DarkSpectre, kampania ZoomStealer jest szczególnie godna uwagi. Opiera się na wykorzystaniu 18 różnych rozszerzeń, zamaskowanych jako narzędzia produktywności, takie jak ekstraktory wideo czy rejestratory audio. Te rozszerzenia wymagają szerokich uprawnień na ponad 28 usługach, w tym Zoom i Microsoft Teams.
Po zainstalowaniu stają się zaawansowanymi urządzeniami szpiegowskimi, zdolnymi do zbierania wrażliwych informacji podczas spotkań online. Wyodrębnione dane obejmują linki do spotkań, identyfikatory sesji oraz szczegółowe informacje o uczestnikach i organizatorach.
Implikacje szpiegostwa przez DarkSpectre
Kampania ZoomStealer zainfekowała już 2,2 miliona maszyn i stanowi nowy etap dla DarkSpectre. Ta grupa, wcześniej znana z operacji masowego nadzoru, teraz kieruje się na ukierunkowany wywiad dotyczący firm. Zebrane informacje pozwalają na mapowanie zainteresowań organizacji, otwierając drogę do zaawansowanych kampanii phishingowych.
Wskazówki wskazują na chińskie pochodzenie
Badacze z Koi Security zauważyli wskazówki techniczne sugerujące powiązanie DarkSpectre z podmiotem związanym z Chinami. Wśród tych wskazówek znajdują się infrastruktury hostowane na Alibaba Cloud, komentarze w kodzie w języku chińskim oraz specyficzne godziny aktywności.
Kontekst DarkSpectre i zagrożeń cybernetycznych
DarkSpectre wpisuje się w stale ewoluujący krajobraz zagrożeń cybernetycznych, gdzie zorganizowane grupy wykorzystują luki, aby osiągnąć swoje cele. Od kilku lat ataki cybernetyczne mnożą się, celując zarówno w indywidualnych użytkowników, jak i duże firmy.
Cyberprzestępcy, tacy jak DarkSpectre, wykorzystują postępy technologiczne i luki w systemach, aby realizować swoje operacje. Czujność i świadomość użytkowników pozostają kluczowe dla ochrony przed tymi coraz bardziej zaawansowanymi zagrożeniami.
