Para sa higit sa pitong magkakasunod na taonIsang malawakang operasyon ng cybercrime ang nagawang makapasok sa mga pangunahing browser sa merkado, kabilang ang Google Chrome at Microsoft Edge, sa pamamagitan ng tila hindi nakakapinsalang mga extension. Napakalawak ng saklaw ng pag-atake kaya tinatayang hindi bababa sa 8,8 milyong gumagamit Maaaring naapektuhan ang mga tao sa buong mundo, marami sa kanila sa Europa at Espanya.
Ang imbestigasyon, na pinangunahan ng mga espesyalista sa cybersecurity tulad ng kompanya Koi.ai, ay nakatuklas ng isang lubos na organisadong kriminal na network, na tinaguriang DarkSpectrena umano'y nagsamantala sa tiwala sa mga opisyal na extension store para ipamahagi ang malware. Ang pinakanakababahalang aspeto ay ang Karamihan sa mga naapektuhan ay walang hinala. na ang kanilang mga detalye sa bangko, mga kredensyal, o impormasyon ng korporasyon ay nakunan sa background.
Isang tahimik na pag-atake na nagsamantala sa mga extension ng Chrome at Edge
Ayon sa datos na isiniwalat ng mga mananaliksik, ang DarkSpectre ay bumuo ng isang kumplikadong imprastraktura upang mailathala at mapanatili halos 300 malisyosong extension sa mga opisyal na tindahan ng Chrome, Edge, Firefox, at Opera. Marami sa mga extension na ito ay ipinakita bilang mga pang-araw-araw na kagamitan: mula sa mga tab manager at translator, hanggang sa mga blocker ng ad o mga kagamitan upang mapabuti ang produktibidad.
Ang sekreto ay ang mag-alok ng mga lehitimong feature sa simula, para makakuha ng mga download at magandang reputasyon batay sa artipisyal na nabuong mga positibong review at ratingNang maabot ng mga extension ang isang malaking bilang ng mga gumagamit, itinulak ng mga attacker mga palihim na pag-update na nagsama ng malisyosong code nang hindi napapansin ng user ang anumang malinaw na pagbabago sa operasyon.
Sa kaso ng mga browser na nakabatay sa Chromium, tulad ng Google Chrome at Microsoft EdgeIsang network ng mga extension na parang Trojan horse ang natukoy na nagbalatkayo bilang mga tool sa pagpapasadya o mga ad blocker. Hindi bababa sa isang yugto ng pag-atake ang natukoy 30 partikular na sikat na mga extension kayang magnakaw ng mga kredensyal sa pagbabangko, mga password sa social media, at data ng autofill form, na nagpapadala ng lahat ng impormasyong iyon nang real time sa mga server na nasa ilalim ng kontrol ng mga cybercriminal.
Bukod sa pagnanakaw ng datos, ilan sa mga extension na ito ay may kasamang mga tampok ng pag-iniksyon ng advertising at pag-redirect ng paghahanapNagbigay-daan ito sa pagpapakita ng mga mapanghimasok na patalastas, na naglilipat sa mga user sa mga phishing site, at nagparami ng mga posibilidad ng pandaraya, kabilang ang panggagaya sa mga pahina ng bangko o mga serbisyo sa pagbabayad na malawakang ginagamit sa Espanya at sa iba pang bahagi ng Europa.
Mahigit sa 8,8 milyong biktima at tatlong pangunahing koordinadong kampanya
Ang laki ng pag-atake ay makikita sa mga datos na hinawakan ng mga serbisyo ng paniktik at mga kumpanya ng cybersecurity: tinatayang 8,8 milyon-milyong mga gumagamit Naapektuhan sila sa buong mundo ng iba't ibang kampanyang nauugnay sa DarkSpectre. Upang makamit ito, diumano'y pinanatili ng grupo tatlong magkakaibang linya ng pag-atake, kilala bilang ShadyPanda, GhostPoster at Zoom Stealer.
kampanya ShadyPanda Ito ang pinakaagresibo sa usapin ng dami. Sa mahigit 100 malisyosong extension, na pangunahing naglalayong manipulahin ang trapiko ng e-commerce, ay maaaring nakompromiso ang datos ng humigit-kumulang na 5,6 milyong mga gumagamitKapag na-activate na ang mga nakatagong function, maaaring baguhin ng mga extension na ito ang mga link sa mga shopping portal, i-redirect ang mga bayad sa mga mapanlinlang na pahina, o magpasok ng karagdagang code para patuloy na masubaybayan ang aktibidad ng user.
Itinuturo ng mga eksperto na ang mga maniobrang ito ay nakaapekto sa mga online na tindahan at malawakang ginagamit na mga serbisyo sa pagbabayad sa European Union, na nagbukas ng pinto sa pandaraya sa pananalapi na tumatawid sa hangganan at mga potensyal na isyu sa pagsunod sa regulasyon para sa mga platform na hindi nakatukoy ng manipulasyon sa trapiko sa tamang oras.
Ang pangalawang pangunahing opensiba, na tinatawag na GhostPosterAng pangunahing target nito ay ang mga browser Firefox at Operana medyo hindi gaanong mahigpit ang mga kontrol sa seguridad kumpara sa Chrome at Edge. Sa kasong ito, ang pagkakaiba ay ang paggamit ng steganographyItinago ng mga umaatake ang malisyosong JavaScript code sa loob ng mga PNG image file, na nagpapahintulot sa kanila na magsagawa ng mga malayuang tagubilin at mag-download ng mga bagong malware module nang hindi nagbubunsod ng hinala.
Isa sa mga pinakakapansin-pansing halimbawa ay ang pag-clone ng isang extension ng Google Translate para sa Operana tila isang lehitimong kagamitan sa unang tingin. Gayunpaman, sa likod ng mga eksena, nag-install ito ng backdoor gamit ang isang iframe Palibhasa'y nakatago, hindi nito pinagana ang mga proteksyon laban sa pandaraya ng browser at nagtatag ng koneksyon sa mga server na dating naka-link sa iba pang mga operasyon ng DarkSpectre, na lumikha ng isang permanenteng channel ng pag-access sa sistema ng biktima.
Zoom Stealer: Ang pagsulong sa paniniktik sa mga corporate video call
Ang ikatlong yugto ng pag-atake, na kinilala bilang Magnanakaw ng Zoom, gumawa ng isang kwalitatibong hakbang sa pamamagitan ng ganap na pagtuon sa kapaligiran ng negosyoSa pagtatapos ng 2025, natuklasan ng mga mananaliksik ang hindi bababa sa 18 partikular na extension naka-target sa mga platform ng videoconferencing tulad ng Zoom, Microsoft Teams at Google Meet, na may tinatayang epekto sa 2,2 milyon-milyong mga gumagamit.
Ang mga extension na ito ay itinaguyod bilang mga mainam na pandagdag para sa teleworking at mga remote na pagpupulong: nangako ang mga ito ibuod ang mga video, i-save ang mga link na interesado ka, bumuo ng mga listahan ng kalahok o bumuo ng awtomatikong buod ng bawat sesyon. Isang kaakit-akit na profile para sa mga kompanyang Espanyol at Europeo na pinagsama ang hybrid at remote na trabaho nitong mga nakaraang taon.
Pagkatapos ng kanilang pag-install, sinimulan na ang mga kagamitan maharang ang mahahalagang impormasyon mula sa mga video call: mga access link, meeting ID, guest password at, sa ilang mga kaso, ibinahaging nilalaman o metadata na may kaugnayan sa mga presentasyon at dokumentong tinalakay sa mga sesyon.
Gamit ang datos na ito, nagawang ma-access ng mga umaatake ang mga pribadong pagpupulong, marami sa mga ito ay mga high-level, at lumikha ng mga repositoryo ng propesyonal at komersyal na katalinuhan na may napakalaking estratehikong halaga. Ayon sa mga sangguniang kinonsulta, nakompromiso ang mga panloob na komunikasyon tungkol sa mga plano sa negosyo, mga kasunduan sa pamumuhunan, mga estratehiya sa merkado, at iba pang mga bagay na lubhang sensitibo sa kompetisyon ng mga kompanyang kasangkot.
Kasabay nito, sinamantala ng Zoom Stealer ang malawak na pahintulot na ipinagkaloob sa mga extension upang maisagawa real-time na pag-exfilt ng kredensyalKabilang dito ang mga kredensyal sa pag-login sa korporasyon, mga access key sa mga cloud tool, at mga propesyonal na profile na maaaring magamit muli sa mga naka-target na pag-atake, tulad ng mga lubos na na-customize na kampanya sa phishing laban sa mga empleyado ng mga organisasyong Europeo.
Epekto sa mga gumagamit at kumpanya sa Europa at Espanya
Itinampok ng kaso ng DarkSpectre ang lawak kung saan ang pinagkakatiwalaang kadena sa mga tindahan ng hair extension Maaari itong maging isang kahinaan para sa mga mamamayan at organisasyon. Bagama't ang pag-atake ay umabot sa buong mundo, ang mga awtoridad sa Europa at mga pangkat ng pagtugon sa insidente sa ilang mga bansa, kabilang ang Espanya, ay mahigpit na sinusubaybayan ang epekto nito sa mga lokal na gumagamit.
Para sa mga indibidwal na gumagamit, ang mga kahihinatnan ay isinasalin sa palihim na pagbabantay sa kanyang aktibidad onlinePosibleng pagnanakaw ng pagkakakilanlan, mga hindi awtorisadong singil sa mga online na pagbili, at mga pagtagas ng personal na data na maaaring mapunta sa mga lihim na forum. Maraming biktima ang hindi man lang makakaalam na sila ay tinarget, dahil tila gumagana nang normal ang karamihan sa mga extension.
Sa larangan ng korporasyon, mas malala pa ang dagok. Ang mga kompanyang Europeo na nakabatay sa malaking bahagi ng kanilang operasyon sa mga cloud tool at videoconferencing ay nahaharap sa mga panganib ng paniniktik sa industriyaMga pagtagas ng mga estratehikong kasunduan at paglalantad ng kumpidensyal na impormasyon tungkol sa mga kliyente, supplier, at kasosyo. Bukod pa rito, maaaring kailanganin ng mga kumpanya na iulat ang mga insidente sa seguridad sa ilalim ng mga regulasyon tulad ng Pangkalahatang Regulasyon sa Proteksyon ng Data (RGPD)ipagpalagay ang mga gastos sa reputasyon at mga posibleng parusa.
Ipinahihiwatig ng mga paunang ulat na maaaring nakabuo ang kriminal na network ng mga tunay na mga bodega ng datos ng korporasyon Ang impormasyong ito ay nakukuha sa pamamagitan ng mga pribadong pag-uusap, mga dokumentong ibinabahagi sa mga pagpupulong, at hindi awtorisadong pag-access sa mga intranet o mga panloob na serbisyo. Ito ay lubhang mahalaga para sa pagbebenta sa mga black market, pati na rin para sa mga kampanya ng blackmail o hindi patas na kompetisyon.
Nakikipagtulungan ang mga awtoridad sa Europa sa mga tagapagbigay ng teknolohiya upang mapabuti ang mga sistema ng pagtuklas sa mga tindahan ng pagpapahaba ng buhok at palakasin ang mga kontrol sa paggamit ng personal na data. Gayunpaman, itinuturo ng mga eksperto na walang awtomatikong sistema ang hindi nagkakamali at ang huling linya ng depensa ay nananatiling ang gumagamit at ang kanilang mga gawi sa seguridad.
Paano protektahan ang iyong sarili pagkatapos ng malawakang cyberattack sa Chrome at Edge
Dahil sa ganito katagal at sopistikadong senaryo, inirerekomenda ng mga eksperto sa cybersecurity ang isang serye ng mga agarang hakbang upang bawasan ang epekto ng pag-atake at maiwasan ang karagdagang mga impeksyon, lalo na sa mga gumagamit ng Chrome at Edge sa Spain at sa iba pang bahagi ng Europe.
Ang unang hakbang ay ang pagsasagawa ng a buong pag-audit ng mga extension Ang mga add-on na ito ay naka-install sa lahat ng browser. Maipapayo na suriin ang mga ito nang isa-isa at i-uninstall ang anumang add-on na hindi nakikilala, hindi regular na ginagamit, o hindi nagmula sa isang mapagkakatiwalaang developer. Kung may pag-aalinlangan, pinakamahusay na alisin at muling i-install lamang mula sa opisyal na pinagmulan ng provider kung talagang kinakailangan.
Mahalaga ring tiyakin na ang browser ay na-update sa pinakabagong bersyon na magagamitParehong nagsasama ang Google at Microsoft ng mga patch upang harangan ang ilan sa mga pamamaraan na ginagamit ng DarkSpectre, kaya ang mga pinakabagong bersyon ay may kasamang mga partikular na pagpapabuti sa pagtukoy ng kahina-hinalang pag-uugali at sa pamamahala ng mga pahintulot sa extension.
Tungkol sa mga online account, inirerekomenda na baguhin ang mga password para sa mga kritikal na serbisyo (email, online banking, social media, mga corporate tool) kung mayroong anumang hinala na gumamit ng nakompromisong extension. Maipapayo na samantalahin ang pagkakataong ito upang gumamit ng kakaiba at malalakas na password para sa bawat serbisyo, mas mainam kung sa tulong ng isang password manager.
Bukod pa rito, iginigiit ng mga espesyalista na isaaktibo ang two-factor authentication (2FA) hangga't maaari. Ang mekanismong ito ay nagdaragdag ng karagdagang patong ng proteksyon, kaya kahit na makakuha ng password ang isang umaatake, magiging mas mahirap para sa kanila na ma-access ang account nang walang pansamantalang code o pangalawang elemento ng pag-verify.
Panghuli, para sa mga organisasyong lubos na umaasa sa mga platform tulad ng Zoom, Teams, o Google Meet, inirerekomenda na ipatupad ang pana-panahong inspeksyon ng mga naka-install na extension sa mga corporate browser, ipatupad ang mga patakaran sa seguridad na naglilimita sa pag-install ng mga hindi awtorisadong add-on at nagsasanay sa mga empleyado upang matukoy ang mga potensyal na scam, kapwa sa mga extension at sa mga email o link na maaaring kasama ng mga katulad na kampanya.
Lahat ng natuklasan tungkol sa DarkSpectre at sa mga kampanya nitong ShadyPanda, GhostPoster, at Zoom Stealer ay sumasalamin sa lawak kung saan Ang mga extension ng browser ay naging isang prayoridad na target Para sa mga cybercriminal, ang kombinasyon ng tiwala sa mga opisyal na tindahan, mga kapaki-pakinabang na tampok, at mga manipuladong review ay nagbigay-daan sa kanila na makaranas ng isang tahimik na pag-atake sa loob ng maraming taon na may malaking epekto sa mga indibidwal na gumagamit at kumpanya. Pinipilit tayo nitong pag-isipang muli kung paano natin ini-install at pinamamahalaan ang mga add-on na ito sa ating pang-araw-araw na digital na buhay.
