For mere end syv år i trækEn storstilet cyberkriminalitetsoperation har formået at infiltrere de vigtigste browsere på markedet, herunder Google Chrome og Microsoft Edge, gennem tilsyneladende harmløse udvidelser. Omfanget af angrebet er så omfattende, at det anslås, at mindst 8,8 millioner brugere Folk over hele verden kan være blevet berørt, mange af dem i Europa og Spanien.
Undersøgelsen, ledet af cybersikkerhedsspecialister som firmaet Koi.aihar afsløret et stærkt organiseret kriminelt netværk, der kaldes DarkSpectresom angiveligt udnyttede tilliden til officielle udvidelsesbutikker til at distribuere malware. Det mest bekymrende aspekt er, at De fleste af de berørte havde ingen mistanke. at deres bankoplysninger, legitimationsoplysninger eller virksomhedsoplysninger blev indfanget i baggrunden.
Et stille angreb, der udnyttede Chrome- og Edge-udvidelser
Ifølge data afsløret af forskere, byggede DarkSpectre en kompleks infrastruktur til at udgive og vedligeholde næsten 300 ondsindede udvidelser i de officielle Chrome-, Edge-, Firefox- og Opera-butikker. Mange af disse udvidelser blev præsenteret som meget almindelige værktøjer: fra fanebladsadministratorer og oversættere til annonceblokkere eller værktøjer til at forbedre produktiviteten.
Tricket var at tilbyde legitime funktioner i starten og derved opnå downloads og et godt omdømme baseret på kunstigt genererede positive anmeldelser og vurderingerDa udvidelserne nåede et betydeligt antal brugere, pressede angriberne skjulte opdateringer der inkorporerede den ondsindede kode uden at brugeren bemærkede nogen åbenlyse ændringer i driften.
I tilfælde af Chromium-baserede browsere, som f.eks. Google Chrome og Microsoft EdgeEt netværk af trojanske hestelignende udvidelser forklædt som tilpasningsværktøjer eller annonceblokkere blev opdaget. Mindst én fase af angrebet blev identificeret. 30 særligt populære udvidelser i stand til at stjæle bankoplysninger, adgangskoder til sociale medier og automatisk udfyldningsformulardata og sende alle disse oplysninger i realtid til servere under kontrol af cyberkriminelle.
Ud over datatyveri inkluderede flere af disse udvidelser funktioner fra Annonceindsprøjtning og søgeomdirigeringDette muliggjorde visning af påtrængende reklamer, der omdirigerede brugere til phishing-sider og mangedoblede mulighederne for svindel, herunder efterligning af banksider eller betalingstjenester, der er udbredt i Spanien og resten af ​​Europa.
Mere end 8,8 millioner ofre og tre store koordinerede kampagner
Angrebets omfang afspejles i de tal, der håndteres af efterretningstjenester og cybersikkerhedsvirksomheder: det anslås, at 8,8 millioner af brugere De er blevet påvirket verden over af de forskellige kampagner forbundet med DarkSpectre. For at opnå dette har gruppen angiveligt opretholdt tre forskellige angrebslinjer, kendt som ShadyPanda, GhostPoster og Zoom Stealer.
kampagne ShadyPanda Den var den mest aggressive med hensyn til volumen. Gennem mere end 100 ondsindede udvidelser, primært rettet mod at manipulere e-handelstrafik, ville have kompromitteret dataene for cirka 5,6 millioner brugereNår de skjulte funktioner var aktiveret, kunne disse udvidelser ændre links på shoppingportaler, omdirigere betalinger til svigagtige sider eller indsætte yderligere kode for at fortsætte med at spore brugeraktivitet.
Eksperter påpeger, at disse manøvrer påvirkede onlinebutikker og udbredte betalingstjenester i Den Europæiske Union og åbnede døren for grænseoverskridende økonomisk bedrageri og potentielle problemer med overholdelse af lovgivningen for platforme, der ikke opdagede trafikmanipulation i tide.
Den anden store offensiv, kaldet SpøgelsesplakatDens primære mål var browsere Firefox og Operasom havde noget mindre strenge sikkerhedskontroller end Chrome og Edge. I dette tilfælde var den differentierende faktor brugen af steganografiAngriberne gemte ondsindet JavaScript-kode i PNG-billedfiler, hvilket gjorde det muligt for dem at udføre fjerninstruktioner og downloade nye malware-moduler uden at vække mistanke.
Et af de mest slående eksempler var kloningen af ​​en udvidelse af Google Oversæt til Operahvilket ved første øjekast så ud til at være et legitimt værktøj. Bag kulisserne installerede den dog en bagdør ved hjælp af en iframe Skjult deaktiverede den browserens beskyttelse mod svindel og etablerede en forbindelse til servere, der tidligere var forbundet med andre DarkSpectre-operationer, hvilket skabte en permanent adgangskanal til offerets system.
Zoom Stealer: Springet ind i spionage i virksomhedsvideoopkald
Den tredje fase af angrebet, identificeret som Zoom-stjælertog et kvalitativt spring ved udelukkende at fokusere på ArbejdsmiljøVed udgangen af ​​2025 havde forskere opdaget mindst 18 specifikke udvidelser målrettet videokonferenceplatforme som Zoom, Microsoft Teams og Google Meet, med en anslået effekt på 2,2 millioner af brugere.
Disse udvidelser blev markedsført som ideelle supplementer til telearbejde og fjernmøder: de lovede opsummer videoer, gem interessante links, generer deltagerlister eller generer et automatisk resumé af hver session. En meget attraktiv profil for spanske og europæiske virksomheder, der har konsolideret hybrid- og fjernarbejde i de senere år.
Efter installationen begyndte værktøjerne at opfange kritiske oplysninger fra videoopkald: adgangslinks, møde-ID'er, gæsteadgangskoder og i nogle tilfælde delt indhold eller metadata relateret til præsentationer og dokumenter, der diskuteres under sessionerne.
Med disse data kunne angriberne få adgang til private møder, mange af dem på højt niveau, og oprette lagre af professionel og kommerciel intelligens med enorm strategisk værdi. Ifølge de konsulterede kilder blev den interne kommunikation vedrørende forretningsplaner, investeringsaftaler, markedsstrategier og andre forhold, der er meget følsomme over for de involverede virksomheders konkurrenceevne, kompromitteret.
Parallelt udnyttede Zoom Stealer de brede tilladelser, der var givet til udvidelser, til at udføre udtømning af legitimationsoplysninger i realtidDette omfattede virksomhedsloginoplysninger, adgangsnøgler til cloudværktøjer og professionelle profiler, der derefter kunne genbruges i målrettede angreb, såsom skræddersyede phishingkampagner mod medarbejdere i europæiske organisationer.
Indvirkning på brugere og virksomheder i Europa og Spanien
DarkSpectre-sagen har fremhævet, i hvilket omfang den betroede kæde i hårextensionsbutikker Dette kan blive en sårbarhed for borgere og organisationer. Selvom angrebet havde en global rækkevidde, overvåger europæiske myndigheder og indsatsteams i flere lande, herunder Spanien, nøje virkningen på lokale brugere.
For individuelle brugere betyder konsekvenserne det hemmelig overvågning af hans online aktivitetMulig identitetstyveri, uautoriserede opkrævninger af onlinekøb og lækager af personlige data, der kan ende på hemmelige fora. Mange ofre vil ikke engang være klar over, at de har været mål for angrebet, da de fleste udvidelser tilsyneladende fungerede normalt.
I erhvervslivet er slaget endnu mere alvorligt. Europæiske virksomheder, der baserer en stor del af deres drift på cloud-værktøjer og videokonferencer, står over for risici ved industrispionageLækager af strategiske aftaler og eksponering af fortrolige oplysninger om kunder, leverandører og partnere. Derudover kan virksomheder være forpligtet til at rapportere sikkerhedshændelser i henhold til regler som f.eks. Generel databeskyttelsesforordning (RGPD)under påtagelse af omdømmeomkostninger og mulige sanktioner.
Foreløbige rapporter tyder på, at det kriminelle netværk muligvis har bygget autentiske virksomhedens datalagre Disse oplysninger indhentes gennem private samtaler, dokumenter delt i møder og uautoriseret adgang til intranet eller interne tjenester. De er yderst værdifulde til salg på sorte markeder, såvel som til afpresningskampagner eller illoyal konkurrence.
Europæiske myndigheder samarbejder med teknologiudbydere for at forbedre detektionssystemer i hårextensions-saloner og for at styrke kontrollen med brugen af ​​personoplysninger. Eksperter påpeger dog, at Intet automatiseret system er ufejlbarligt og at den sidste forsvarslinje forbliver brugeren og deres sikkerhedsvaner.
Sådan beskytter du dig selv efter det massive cyberangreb på Chrome og Edge
Stillet over for et så langvarigt og sofistikeret scenarie anbefaler cybersikkerhedseksperter en række øjeblikkelige foranstaltninger for at mindske påvirkningen af angrebet og forhindre yderligere infektioner, især blandt Chrome- og Edge-brugere i Spanien og resten af ​​Europa.
Det første skridt er at udføre en fuld revision af udvidelser Disse tilføjelser er installeret på alle browsere. Det anbefales at gennemgå dem én efter én og afinstallere alle tilføjelser, der ikke genkendes, ikke bruges regelmæssigt eller ikke kommer fra en betroet udvikler. Hvis du er i tvivl, er det bedst kun at fjerne og geninstallere fra den officielle udbyders kilde, hvis det er absolut nødvendigt.
Det er også vigtigt at kontrollere, at browseren er opdateret til den seneste tilgængelige versionBåde Google og Microsoft har indarbejdet programrettelser for at blokere nogle af de teknikker, der bruges af DarkSpectre, så de seneste versioner inkluderer specifikke forbedringer i detektering af mistænkelig adfærd og i administrationen af ​​udvidelsestilladelser.
Vedrørende onlinekonti anbefales det at ændre adgangskoder til kritiske tjenester (e-mail, netbank, sociale medier, virksomhedsværktøjer), hvis der er mistanke om at have brugt en kompromitteret udvidelse. Det er tilrådeligt at benytte lejligheden til at bruge unikke og stærke adgangskoder til hver tjeneste, ideelt set ved hjælp af en adgangskodeadministrator.
Derudover insisterer specialister på at aktivere to-faktor autentificering (2FA) når det er muligt. Denne mekanisme tilføjer et ekstra lag af beskyttelse, så selvom en angriber får fat i en adgangskode, vil det være meget vanskeligere for dem at få adgang til kontoen uden den midlertidige kode eller det andet verifikationselement.
Endelig anbefales det for organisationer, der er stærkt afhængige af platforme som Zoom, Teams eller Google Meet, at implementere periodiske inspektioner af installerede udvidelser i virksomhedsbrowsere, implementere sikkerhedspolitikker der begrænser installationen af ​​uautoriserede tilføjelser og træner medarbejdere i at opdage potentielle svindelnumre, både i udvidelser og i e-mails eller links, der kan ledsage lignende kampagner.
Alt, hvad der er opdaget om DarkSpectre og dets ShadyPanda-, GhostPoster- og Zoom Stealer-kampagner, afspejler i hvilken grad Browserudvidelser er blevet et prioriteret mål For cyberkriminelle har kombinationen af ​​tillid til officielle butikker, nyttige funktioner og manipulerede anmeldelser gjort det muligt for dem at modstå et stille angreb i årevis med en enorm indvirkning på individuelle brugere og virksomheder. Dette tvinger os til at gentænke, hvordan vi installerer og administrerer disse tilføjelser i vores digitale daglige liv.
