Масштабна кібератака на Chrome та Edge: сім років невиявлених шкідливих розширень

  • Мережа з майже 300 шкідливих розширень у Chrome, Edge, Firefox та Opera протягом понад семи років впливала на 8,8 мільйона користувачів.
  • Група DarkSpectre керувала трьома основними кампаніями (ShadyPanda, GhostPoster та Zoom Stealer), спрямованими на шахрайство, крадіжку даних та корпоративне шпигунство.
  • Атака використовувала фальшиві рейтинги, приховані оновлення та методи стеганографії, щоб обійти офіційний контроль магазинів.
  • Рекомендується перевіряти розширення, оновлювати браузери та змінювати паролі, особливо в професійному та корпоративному середовищі.
Alberto Navarro

11 хвилин

Масштабна кібератака на браузери

Для більш ніж сім років, один мережа шкідливих розширень Йому вдалося шалено розкрутитися в таких браузерах, як Chrome та Edge.впливаючи на інші браузери, такі як Firefox та Opera, не викликаючи підозр у мільйонів користувачів. Те, що здавалося відносно безпечною екосистемою в офіційних магазинах доповнень, тепер виявилося одним із найтриваліших та найпоширеніших інцидентів безпеки за останній час.

Дослідження, нещодавно оприлюднене компанією з кібербезпеки Koi.ai, детально описує, як організована група під назвою ТемнийПривидЙому вдалося запровадити та підтримувати активну мережу з приблизно 300 шахрайських розширеньЦі інструменти, встановлені деякими 8,8 мільйонів користувачів у всьому світіВони були активні з 2018 року до кінця 2025 року, крадучи дані, шпигуючи за онлайн-активністю та використовуючи довіру офіційних магазинів.

Тиха атака на Chrome, Edge та інші браузери

Шкідливі розширення в Chrome та Edge

Суть атаки полягала в розширення, представлені як, здавалося б, корисні інструментиБлокувальники реклами, утиліти для підвищення продуктивності, перекладачі або доповнення для браузера. Багато з них були доступні в офіційних каталогах Google Chrome, Microsoft Edge, Mozilla Firefox та OperaЦе давало користувачам відчуття безпеки, яке з часом виявилося необґрунтованим.

Згідно з загальнодоступними даними, DarkSpectre вдосконалює свої методи з 2018 року, щоб Шкідливим розширенням вдалося пройти через автоматичні фільтри та регулярні перевірки.Ключовим було те, що значна частина небезпечного коду активувалася лише після досягнення значної кількості встановлень або через пізніші оновлення що змінило початкову поведінку доповнення.

На практиці це означало, що розширення могло з'явитися в магазинах як легітимний інструмент, накопичувати завантаження та оцінки, і лише пізніше, через тихе оновлення, вбудовувати шкідливий компонент. Таким чином, атаці вдалося використати одну зі слабких місць у моделі довіри офіційних репозиторіїв.де оновлення часто вважаються рутинними покращеннями.

Koi.ai наголошує на тому, що Більшість жертв використовували браузери на базі Chromium, особливо Chrome та Edge.завдяки своїй величезній частці ринку в Європі та решті світу. Однак кампанія також охопила користувачів Firefox та Opera, демонструючи, що метою був не один браузер, а вся екосистема розширень.

Методи обману: фальшиві відгуки та приховані оновлення

Тактики кібератак у розширеннях

Щоб масштабувати атаку, DarkSpectre вдався до методи штучного створення репутаціїБагато з постраждалих розширень з'явилися в магазинах із високі оцінки та позитивні відгуки, що генеруються автоматично або скоординованоЦе розмістило їх серед рекомендованих варіантів та підвищило їхню видимість для нових користувачів.

Крім того, група розгорнула систему приховані оновлення що поступово змінювало функціональність доповнення. Протягом перших кількох місяців життя розширення його поведінка могла бути майже бездоганною, обмежуючись обіцяною функцією. Після досягнення міцної бази інсталяцій додавались приховані модулі, орієнтовані на крадіжка даних, маніпулювання веб-трафіком або вставка нав'язливої ​​реклами без згоди користувача.

У деяких задокументованих випадках ці розширення функціонували як справжні «Троянські коні» у браузеріПринаймні тридцять популярних доповнень, включаючи фальшиві блокувальники реклами та інструменти налаштування, містили код, розроблений для збирати банківські облікові дані, паролі соціальних мереж та дані автозаповненняВся ця інформація надсилалася в режимі реального часу на сервери, контрольовані зловмисниками.

Поряд із прямим викраденням даних, компонент, спрямований на впровадження реклами та перенаправлення на фішингові сторінкиІншими словами, користувач міг бачити, як його пошукові запити перенаправлялися на шахрайські веб-сайти або як з’являлася реклама сумнівного походження, що генерувало дохід для злочинної мережі та відкривало шлях для додаткових шахрайств.

Ця гібридна модель — поєднання економічного шахрайства, крадіжки інформації та маніпуляції трафіком — дозволила атаці бути прибутковою, залишаючись непоміченою більшістю систем виявлення та, перш за все, самими жертвами.

Три основні кампанії: ShadyPanda, GhostPoster та Zoom Stealer

Шкідливі кампанії у браузерах

Операція, організована DarkSpectre, була розділена на три основні напрямки дій, кожен з яких мав різні цілі та методи, але мав спільний знаменник: використовувати довіру користувачів до сховищ розширень та повною мірою скористатися дозволами, наданими браузеру.

Перший великий етап, відомий як ШейдіПанда, зосереджено на розширення, які видавали себе за нешкідливі утилітиБільше сотні цих аксесуарів зрештою заразили деяких 5,6 мільйони користувачівособливо в браузерах на базі Chromium. Хоча вони й залишалися непомітними, вони надавали обіцяні функції, але як тільки було досягнуто критичної маси встановлень, приховані можливості активувалися для:

  • Здійснення шахрайства під час онлайн-покупок, зміна або перехоплення форм та платіжних шлюзів.
  • Крадіжка конфіденційних данихвід облікових даних для входу до інформації про картку та адрес доставки.
  • Маніпулювання легітимними посиланнями на великих порталах електронної комерціїперенаправлення користувача на клоновані сайти або зміна кінцевого пункту призначення певних транзакцій.

Друга кампанія, що отримала назву GhostPoster, постраждало більше ніж 1 мільйон користувачів, з особливим акцентом на Firefox і OperaЙого найяскравішою особливістю було використання стеганографіятехніка, яка дозволяє приховування шкідливого коду в, здавалося б, звичайних зображенняхТаким чином, розширення могли завантажувати та виконувати віддалені інструкції або нові модулі шкідливого програмного забезпечення, не викликаючи підозр у традиційних системах аналізу.

У рамках GhostPoster було виявлено особливо тривожний випадок: маніпульовану версію популярного розширення «Google Перекладач» для OperaЦей варіант включав З дати невидимий, який встановив закуліснийВін відключив механізми боротьби з шахрайством браузера та надіслав інформацію на сервери, пов'язані з DarkSpectre. Тим часом користувач продовжував бачити, як перекладач працює нормально.

Третій і останній великий наступ став відомим як Викрадач Зуму і його було розгорнуто кінець 2025 рокуУ цій кампанії використовувалося 18 розширень спеціально для таких платформ, як Zoom, Microsoft Teams та Google Meetнавіть роблячи компроміс з деякими 2,2 мільйони користувачів, включаючи працівників компаній та державних адміністрацій.

Zoom Stealer був орієнтований на корпоративне шпигунство та збір бізнес-розвідувальних данихРозширення отримували доступ до конфіденційних зустрічей, збирали посилання для запрошень, облікові дані для входу та навіть дані, пов’язані з корпоративними календарями. За допомогою цієї інформації зловмисники змогли створити бази даних, що містять професійні дані, спільні документи та стратегічні деталі з високою економічною цінністю.

Вплив на європейських користувачів та компанії

Сукупний ефект цих кампаній був вражаючим. Мільйони користувачів зазнали постійне спостереження, крадіжка персональних даних та ризик фінансових шахрайствУ багатьох випадках користувачі не знали про походження проблеми. Підозрілі стягнення плати, незначні зміни в результатах пошуку або дивні перенаправлення могли бути пов'язані з окремими збоями, хоча насправді вони були спричинені активністю цих розширень.

У корпоративному секторі, особливо в Іспанії та решті Європи, наслідки були ще серйознішимиПоєднання ShadyPanda та Zoom Stealer відкрило шлях як для відвертого шахрайства, так і для корпоративного шпигунства: доступ до стратегічних зустрічей, витік документів із спільного доступу до екранів, захоплення внутрішніх чатів та збір інформації про проекти, клієнтів та постачальників.

Компанії зі штаб-квартирою в Європейському Союзі, що підпадають під дію таких правил, як Загальне положення про захист даних (RGPD)Тепер вони стикаються з викликом оцінити справжні масштаби витоку інформаціїЙдеться не лише про персональні дані співробітників і клієнтів, а й про комерційні таємниці, дорожні карти продуктів та конфіденційні угоди, які могли бути розкриті роками.

Сама природа розширень ускладнює вимірювання їхнього впливу: Багато з них було встановлено на обладнанні для дистанційної роботи, персональних ноутбуках та мобільних пристроях. використовується для підключення до корпоративних мереж. Це розмиває межі між домашнім та професійним використанням, ускладнюючи як судово-медичні розслідування, так і реагування організацій.

Тим часом, напад знову розпалив дебати в Європі щодо відповідальність основних постачальників браузерів та магазинів додатків коли йдеться про фільтрацію та моніторинг контенту. Хоча процеси перевірки існують, випадок DarkSpectre демонструє, що існуючих систем недостатньо, щоб зупинити таку добре сплановану довгострокову операцію.

Як це залишалося прихованим стільки років?

Одним із найвражаючих аспектів цієї кібератаки є її надзвичайно довга тривалістьЦе не поодинокий інцидент, а операція, яка розвивалася протягом понад семи років, адаптуючись до змін у браузерах, політиках магазинів та інструментах аналізу безпеки.

DarkSpectre використовував модульну структуру, з розподілені інфраструктури командування та управління та домени, які були ротовані, щоб ускладнити їх відстеження. У багатьох випадках шкідливий код активувався лише за певних умов, наприклад, під час відвідування певних сайтів електронної комерції, входу в банківські послуги або приєднання до відеодзвінка, що зменшувало шум, який міг привернути увагу інструментів безпеки.

Ще одним ключовим елементом було використання методи обфускації та затримка завантаження компонентівЗамість того, щоб включити все шкідливе програмне забезпечення до самого пакета розширення, частина шкідливої ​​логіки була завантажена пізніше з віддалених серверів або прихована в, здавалося б, нешкідливих ресурсах, таких як зображення. Це зробило статичне сканування — те, що виконувалося над файлом перед встановленням — менш ефективним.

Крім того, операція отримала вигоду від фрагментація екосистеми безпекиХоча деякі розширення можна було виявити або повідомити про них у певному браузері чи регіоні, інші варіанти залишалися активними в різних магазинах або під дещо зміненими назвами. Ця здатність переосмислювати себе з незначними змінами допомогла зберегти кампанію живою, незважаючи на періодичні втрати.

Дослідники також вказують на відсутність широке усвідомлення реального ризику продовженняБагато користувачів надають широкі дозволи, не перевіряючи, які саме права доступу вони надають: читання та зміна всіх даних на відвіданих сторінках, доступ до вкладок, історії переглядів або інтеграція з іншими сервісами. В руках таких груп, як DarkSpectre, ці дозволи стають ідеальним шлюзом для масового витоку інформації.

Рекомендації для користувачів Chrome та Edge

Після публікації дослідження експерти з кібербезпеки наголосили на необхідності Користувачам та організаціям слід ретельно перевірити розширення, встановлені у їхніх браузерах., особливо в Chrome та Edge, де була зосереджена значна частина атаки.

Як перший крок, доцільно виконати ручний аудит усіх доповнень присутні у браузері. Бажано видалити будь-які розширення, які не розпізнаються, не використовуються регулярно або походження яких не можна чітко визначити. У корпоративному середовищі рекомендується створити білий список дозволених розширень та блокувати встановлення нових інструментів без нагляду ІТ-відділу.

Також важливо переконатися, що браузер оновлено до останньої версіїОсновні постачальники включають певні патчі та покращення блокувати ланцюги атак, подібні до того, що використовується DarkSpectre, тому продовження використання застарілих версій без потреби збільшує ризик.

Якщо ви встановлювали будь-які підозрілі розширення протягом останніх років, доцільно продовжити профілактична зміна пароляПочинаючи з облікових записів електронної пошти, банків, соціальних мереж та критично важливих сервісів. Завжди, коли це можливо, рекомендується активувати двофакторна аутентифікація (2FA)що додає додатковий рівень захисту, навіть якщо облікові дані були скомпрометовані.

Зрештою, як вдома, так і на роботі важливо посилити політику навчання та підвищення обізнаності в галузі цифрової безпеки. Розуміння того, що Не всі розширення з хорошими рейтингами є надійними.Ретельний перегляд запитуваних дозволів та максимальне обмеження встановлення непотрібних інструментів може мати вирішальне значення між збереженням контролю над даними та піддаванням їх таким операціям, як DarkSpectre.

Шкідливі розширення в Chrome
Пов'язана стаття:
Шкідливі розширення Chrome: як працювала кампанія, яка шпигувала за мільйонами користувачів

Усе виявлене щодо цієї тривалої кібератаки чітко показує, що, хоча офіційні магазини Chrome, Edge та інших браузерів залишаються найрозумнішим каналом для встановлення розширень, Довіра не може бути сліпою чи автоматичною.Поєднання таких кампаній, як ShadyPanda, GhostPoster та Zoom Stealer, демонструє, наскільки невинне, здавалося б, доповнення може перетворитися на вектор шпигунства, шахрайства та масових витоків інформації, що впливає як на окремих користувачів, так і на компанії та установи по всій Європі.


Слідкуйте за нами в Новинах Google