Złośliwe wtyczki do przeglądarek. Ataki dotknęły 8,8 miliona osób

Koi Security to grupa, która ujawniła skoordynowane działanie na rzecz milionów użytkowników. Grupa ta łączy trzy, trwające przez ponad 7 lat kampanie naruszające cyberbezpieczeństwo z chińskim aktorem DarkSpectre. Nie trzeba było korzystać z publicznego Wi-Fi - użytkownicy często sami wpadali w sidła hakerów.

Najnowsza, określona jako The Zoom Stealer, ma charakter wywiadowczy i celuje w dane ze spotkań online. Wcześniej firma opisała ShadyPanda i GhostPoster. Z ustaleń wynika, że operacje obejmują setki rozszerzeń przeglądarek.

ShadyPanda, opisana na początku miesiąca, atakowała użytkowników wszystkich trzech przeglądarek. Celem było wykradanie danych, przechwytywanie zapytań i nadużycia afiliacyjne. Koi Security szacuje, że dotyczyła ok. 5,6 mln użytkowników, w tym 1,3 mln nowych ofiar powiązanych z ponad 100 rozszerzeniami z tego samego klastra.

Badacze wskazują na dodatek Edge o nazwie "New Tab - Customized Dashboard" z tzw. bombą z opóźnionym zapłonem. Po instalacji czeka trzy dni, zanim uruchomi złośliwy kod, co pomaga przejść weryfikację sklepu. Dziewięć rozszerzeń działało aktywnie, a około 85 to uśpione pozycje, które budują bazę użytkowników i mogą zostać uzbrojone aktualizacjami nawet po latach.

Druga kampania, GhostPoster, celuje głównie w Firefoxa. Użytkowników kuszą pozornie nieszkodliwe narzędzia i VPN-y, które wstrzykują złośliwe oprogramowanie przez JavaScript. Mechanizmy obejmują podmianę linków afiliacyjnych, śledzenie oraz oszustwa kliknięć i reklamowe. Koi wskazuje też na rozszerzenie Google Translate (dostarczone przez dewelopera "charliesmithbons") w Operze z blisko 1 mln instalacji.

The Zoom Stealer wykorzystuje 18 rozszerzeń w Chrome, Edge i Firefoxie do zbierania danych o spotkaniach. Pośród informacji pozyskiwanych przez szkodliwe rozszerzenia są adresy URL spotkań z osadzonymi hasłami, identyfikatory, tematy, opisy, terminy i status rejestracji. Dodatki podszywają się pod narzędzia do Google Meet, Zoom i GoTo Webinar i w czasie rzeczywistym wysyłają informacje do atakujących przez WebSocket.

Rozszerzenia łącznie uzyskują dostęp do ponad 28 platform wideokonferencyjnych, w tym m.in. Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams i Zoom. Zbierają też dane o prelegentach i gospodarzach webinarów: nazwiska, stanowiska, biogramy, zdjęcia, powiązania firmowe oraz materiały promocyjne.

"To nie jest oszustwo konsumenckie – to infrastruktura szpiegostwa korporacyjnego." -napisali badacze Tuval Admoni i Gal Hachamov. "Użytkownicy dostawali to, co obiecano. Rozszerzenia zdobywały zaufanie i dobre recenzje. Tymczasem w tle działała cicha inwigilacja" - dodali.

Koi Security wiąże kampanie z Chinami na podstawie powtarzalnych elementów: serwerów C2 w Alibaba Cloud, rejestracji ICP z prowincji takich jak Hubei, fragmentów kodu z chińskimi komentarzami oraz schematów nadużyć celujących w JD.com i Taobao. Firma ostrzega, że DarkSpectre prawdopodobnie ma większą infrastrukturę rozszerzeń, które teraz wyglądają na całkiem legalne, bo takie są na pierwszy rzut oka.