- 27,514
- 46
- 8 Ноя 2022
Проверьте свой браузер на наличие «спящих» агентов DarkSpectre.
Хакерская группировка, действующая под именем DarkSpectre, на протяжении семи лет систематически заражала компьютеры пользователей браузеров Chrome, Edge и Firefox. По данным Koi Security, их жертвами стало свыше 8,8 миллионов уникальных устройств. Масштабная операция включала три отдельных кампании и отличалась высоким уровнем координации и ресурсного обеспечения.
Расследование показало, что за кампаниями ShadyPanda, Zoom Stealer и GhostPoster, несмотря на их различную направленность — от кражи пользовательских данных до корпоративного шпионажа — стоит одна и та же преступная организация. Всего было задействовано более сотни расширений, распространявшихся через официальные магазины браузеров. При этом злоумышленники умело совмещали легальные функции, вроде отображения погоды или создания новых вкладок, с вредоносной активностью, незаметной для большинства проверяющих систем.
Специалисты обратили внимание на инфраструктуру ShadyPanda и выявили, что два домена, используемые для реальных функций расширений — infinitynewtab.com и infinitytab.com — параллельно взаимодействовали с серверами управления вредоносной активностью. Эти домены стали ключом к объединению разрозненных на первый взгляд кампаний в единую цепочку.
Особую тревогу вызывает то, насколько долгое время злоумышленники сохраняли «спящие» расширения в браузерах без вредоносной нагрузки. В некоторых случаях вредоносный код активировался спустя неделю после установки. Более того, вредоносная активность запускалась лишь в части случаев — примерно на одном из десяти посещений сайтов, что существенно снижало вероятность обнаружения.
Методы сокрытия вредоносного кода в рамках этой операции достигли высокого уровня. Расширения загружали изображения в формате PNG, в которые было встроено скрытое JavaScript-содержимое. Логотип расширения служил прикрытием — при загрузке изображение расшифровывалось, код извлекался и исполнялся незаметно для пользователя.
Дополнительно загружавшийся код был защищён множеством уровней шифрования и маскировки, включая собственные методы кодирования, XOR-шифрование и упаковку, специально разработанную для обхода автоматических средств анализа. После активации расширения связывались с удалёнными серверами и загружали до 67 килобайт дополнительного JavaScript-кода. Это позволяло преступникам управлять действиями расширения, не прибегая к обновлению, что исключало повторную модерацию.
Подход DarkSpectre к распространению вредоносного кода оказался особенно эффективным благодаря архитектуре, при которой основная нагрузка подменялась на стороне серверов. Таким образом, невозможно устранить угрозу, просто заблокировав определённую версию расширения — содержимое меняется на лету, без участия пользователя.
Хакерская группировка, действующая под именем DarkSpectre, на протяжении семи лет систематически заражала компьютеры пользователей браузеров Chrome, Edge и Firefox. По данным Koi Security, их жертвами стало свыше 8,8 миллионов уникальных устройств. Масштабная операция включала три отдельных кампании и отличалась высоким уровнем координации и ресурсного обеспечения.
Расследование показало, что за кампаниями ShadyPanda, Zoom Stealer и GhostPoster, несмотря на их различную направленность — от кражи пользовательских данных до корпоративного шпионажа — стоит одна и та же преступная организация. Всего было задействовано более сотни расширений, распространявшихся через официальные магазины браузеров. При этом злоумышленники умело совмещали легальные функции, вроде отображения погоды или создания новых вкладок, с вредоносной активностью, незаметной для большинства проверяющих систем.
Специалисты обратили внимание на инфраструктуру ShadyPanda и выявили, что два домена, используемые для реальных функций расширений — infinitynewtab.com и infinitytab.com — параллельно взаимодействовали с серверами управления вредоносной активностью. Эти домены стали ключом к объединению разрозненных на первый взгляд кампаний в единую цепочку.
Особую тревогу вызывает то, насколько долгое время злоумышленники сохраняли «спящие» расширения в браузерах без вредоносной нагрузки. В некоторых случаях вредоносный код активировался спустя неделю после установки. Более того, вредоносная активность запускалась лишь в части случаев — примерно на одном из десяти посещений сайтов, что существенно снижало вероятность обнаружения.
Методы сокрытия вредоносного кода в рамках этой операции достигли высокого уровня. Расширения загружали изображения в формате PNG, в которые было встроено скрытое JavaScript-содержимое. Логотип расширения служил прикрытием — при загрузке изображение расшифровывалось, код извлекался и исполнялся незаметно для пользователя.
Дополнительно загружавшийся код был защищён множеством уровней шифрования и маскировки, включая собственные методы кодирования, XOR-шифрование и упаковку, специально разработанную для обхода автоматических средств анализа. После активации расширения связывались с удалёнными серверами и загружали до 67 килобайт дополнительного JavaScript-кода. Это позволяло преступникам управлять действиями расширения, не прибегая к обновлению, что исключало повторную модерацию.
Подход DarkSpectre к распространению вредоносного кода оказался особенно эффективным благодаря архитектуре, при которой основная нагрузка подменялась на стороне серверов. Таким образом, невозможно устранить угрозу, просто заблокировав определённую версию расширения — содержимое меняется на лету, без участия пользователя.
- Источник новости
- www.securitylab.ru
