El actor de amenazas detrás de dos campañas de extensiones de navegador maliciosas, shadypanda y FantasmaCartelse ha atribuido a una tercera campaña de ataque con nombre en código DarkSpectre que ha afectado a 2,2 millones de usuarios de Google Chrome, Microsoft Edge y Mozilla Firefox.
La actividad es juzgado ser obra de un actor de amenazas chino que Koi Security está rastreando bajo el apodo espectro oscuro. En total, las campañas han afectado colectivamente a más de 8,8 millones de usuarios durante un período de más de siete años.
ShadyPanda fue desenmascarado por primera vez por la compañía de ciberseguridad a principios de este mes como objetivo de los tres usuarios de navegadores para facilitar el robo de datos, el secuestro de consultas de búsqueda y el fraude de afiliados. Se ha descubierto que afecta a 5,6 millones de usuarios, incluidas 1,3 víctimas recientemente identificadas derivadas de más de 100 extensiones marcadas como conectadas al mismo grupo.
Esto también incluye un complemento de Edge llamado «Nueva pestaña – Panel personalizado» que presenta una bomba lógica que espera tres días antes de desencadenar su comportamiento malicioso. La activación retrasada es un intento de dar la impresión de que es legítima durante el período de revisión y obtener su aprobación.
Nueve de estas extensiones están actualmente activas, con 85 «durmientes» adicionales que son benignas y están destinadas a atraer una base de usuarios antes de que se conviertan en armas mediante actualizaciones maliciosas. Koi dijo que las actualizaciones se introdujeron después de más de cinco años en algunos casos.
La segunda campaña, GhostPoster, se centra principalmente en los usuarios de Firefox, apuntándolos con utilidades aparentemente inofensivas y herramientas VPN para servir código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar códigos de seguimiento y cometer clics y fraude publicitario. Una investigación más profunda sobre la actividad ha descubierto más complementos para el navegador, incluida una extensión de Google Translate (desarrollador «charliesmithbons») para Opera con casi un millón de instalaciones.
La tercera campaña montada por DarkSpectre es The Zoom Stealer, que incluye un conjunto de 18 extensiones en Chrome, Edge y Firefox que están orientadas a la inteligencia de reuniones corporativas mediante la recopilación de datos relacionados con reuniones en línea, como URL de reuniones con contraseñas integradas, ID de reuniones, temas, descripciones, horarios programados y estado de registro.
La lista de extensiones identificadas y sus ID correspondientes se encuentra a continuación:
Google Chrome –
- Captura de audio de Chrome (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkkfkdaadceojbekep)
- Descargador de vídeos X (Twitter) (akmdionenlnfcipmdhbhcnkighafmdha)
- Admisión automática de Google Meet (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us siempre muestra «Unirse desde la web» (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Temporizador para Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Grabador de vídeo Chrome (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar y GoToMeeting Descargar grabaciones (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Conoce la admisión automática (ceofheakaalaecnecdkdanhejojkpeai)
- Ajuste de Google Meet (emojis, texto, efectos de cámara) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Silenciar a todos en Meet (adjoknoacleghaejlggocbakidkoifle)
- Pulsar para hablar de Google Meet (pgpidfocdapogajplhjofamgeboonmmj)
- Descargador de fotos para Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Extensión de Zoomcoder (ebhomdageggjbmomenipfbhcjamfkmbl)
- Unirse automáticamente a Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Borde de Microsoft-
- Captura de audio perimetral (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox-
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, publicado por «invaliddejavu»)
- x-video-downloader (xtwitterdownloader@benimaddonum.com, publicado por «invaliddejavu»)
Como es evidente por los nombres de las extensiones, la mayoría de ellas están diseñadas para imitar herramientas para aplicaciones de videoconferencia orientadas a empresas como Google Meet, Zoom y GoTo Webinar para filtrar enlaces de reuniones, credenciales y listas de participantes a través de una conexión WebSocket en tiempo real.
También es capaz de recopilar detalles sobre los oradores y anfitriones de seminarios web, como nombres, títulos, biografías, fotos de perfil y afiliaciones de empresas, junto con logotipos, gráficos promocionales y metadatos de sesiones, cada vez que un usuario visita una página de registro de seminarios web a través del navegador con una de las extensiones instaladas.
Se ha descubierto que estos complementos solicitan acceso a más de 28 plataformas de videoconferencia, incluidas Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams y Zoom, entre otras, independientemente de si requirieron acceso a ellos en primer lugar.
«Esto no es un fraude al consumidor, es una infraestructura de espionaje corporativo», dijeron los investigadores Tuval Admoni y Gal Hachamov. «Zoom Stealer representa algo más específico: recopilación sistemática de inteligencia de reuniones corporativas. Los usuarios obtuvieron lo que se anunciaba. Las extensiones ganaron confianza y críticas positivas. Mientras tanto, la vigilancia se realizaba silenciosamente en segundo plano».
La empresa de ciberseguridad dijo que la información recopilada podría usarse para alimentar el espionaje corporativo vendiendo los datos a otros malos actores y permitir la ingeniería social y operaciones de suplantación de identidad a gran escala.
Los vínculos chinos con la operación se basan en varias pistas: uso consistente de servidores de comando y control (C2) alojados en Alibaba Cloud, registros de proveedores de contenido de Internet (ICP) vinculados a provincias chinas como Hubei, artefactos de código que contienen cadenas y comentarios en chino, y esquemas de fraude dirigidos específicamente a plataformas de comercio electrónico chinas como JD.com y Taobao.
«Es probable que DarkSpectre tenga más infraestructura en este momento: extensiones que parecen completamente legítimas porque lo son, por ahora», dijo Koi. «Todavía están en la fase de creación de confianza, acumulando usuarios, ganando insignias, esperando».
Fuente