Обещания удобства и скрытая угроза: что скрывается за популярными расширениями браузеров
Браузерные расширения часто ассоциируются с повышением комфорта работы в сети: новые вкладки, переводчики, помощники для просмотра видео — все это помогает пользователям ускорить выполнение повседневных задач. Однако за привлекательной оболочкой зачастую скрываются серьезные угрозы безопасности. Исследователи обнаружили долгосрочную киберпрограмму, которая использовала доверие пользователей на масштабном уровне.
Расследование и выявление масштабной угрозы
Аналитики компании Koi Security начали расследование, анализируя подозрительную инфраструктуру, связанную с кампанией, известной как ShadyPanda. Первоначально казалось, что речь идет о нескольких отдельных угрозах, однако вскоре стало ясно, что за этим стоит гораздо более крупное и организованное злоумышленное сообщество. В ходе дальнейших исследований было выявлено, что группа, получившая название DarkSpectre, за семь лет заразила более 8,8 миллиона пользователей браузеров Chrome, Edge и Firefox.
Многолетняя стратегия злоумышленников
Это не было спонтанной или быстрой атакой. Злоумышленники тщательно планировали свои действия, действуя медленно и осмотрительно. Вместо того чтобы сразу выкладывать вредоносный код на площадки расширений, они создавали долговременные схемы, позволяющие управлять зараженными расширениями удаленно и незаметно. Такой подход обеспечивал гибкость и долгосрочный контроль над инфицированными системами.
Обнаружение и устранение угрозы
Первым признаком деятельности DarkSpectre стало использование хитростей для обхода системы безопасности. Злоумышленники хранили вредоносный код внутри изображений в формате PNG, что позволяло скрывать malicious скрипты и запускать их без ведома пользователя. Более того, вся команда управлялась централизованно — злоумышленники контролировали все через свои серверы, что позволяло им в любой момент менять поведение вредоносных компонентов.
Объединение кампаний и масштаб операций
Аналитика показала, что за разными именами скрываются одни и те же операторы. Следуя цепочке доменов, исследователи обнаружили более 100 расширений, связанных с одной инфраструктурой. Некоторые из них функционировали в течение нескольких лет, оставаясь при этом легитимными по внешнему виду. Это свидетельствует о масштабах операции и уровне профессионализма злоумышленников, которые смогли объединить множество кампаний в единую сеть атак.
Цели и методы злоумышленников
Основная цель DarkSpectre — сбор конфиденциальных данных и слежка за пользователями. Некоторые расширения собирали информацию о корпоративных встречах на более чем 28 платформах видеоконференций, что позволяло злоумышленникам получать ценную разведывательную информацию. В то же время другие расширения использовались для мошенничества и фишинга, что увеличивало масштабы ущерба.
Как злоумышленники маскируют вредоносный код
Одной из главных хитростей DarkSpectre стало внедрение JavaScript-кода внутрь изображений, что затрудняло его обнаружение при проверке. Вредоносные расширения могли оставаться в браузере месяцами, активируя свои функции только при определенных условиях или на отдельных страницах. Такой метод делал традиционные проверки на безопасность практически бесполезными.
Управление через серверы и долгосрочный контроль
Вместо обновления расширений через магазины, злоумышленники постоянно управляли ими централизованно с помощью своих серверов. Это позволяло им менять поведение вредоносных функций без необходимости публиковать новые версии в магазинах расширений. Такой подход давал операторам гибкость и возможность адаптироваться к мерам безопасности.
Что собирали злоумышленники и как это использовалось
DarkSpectre специализировался на сборе конфиденциальных данных, в том числе информации о видеоконференциях, что могло использоваться для корпоративного шпионажа и фишинга. Особенно опасным являлось то, что данные поступали в реальном времени, позволяя злоумышленникам мгновенно получать сведения о собеседниках и содержании встреч.
Проблемы с проверками расширений и доверие пользователей
Обычно расширения проходят проверку в магазинах при их публикации или обновлении. Однако, по мере накопления положительных отзывов и доверия со стороны пользователей, злоумышленники могли оставить свои вредоносные расширения без внимания. Т.к. такие расширения выглядят легитимными, их сложно обнаружить до тех пор, пока не станет слишком поздно.
Советы по защите и безопасной работе с расширениями
- Обязательно включайте автоматические обновления браузера, чтобы всегда использовать последнюю версию.
- Удаляйте расширения, которые давно не используете, чтобы снизить риск заражения.
- Пользуйтесь только официальными магазинами расширений, где есть проверки и сканеры на наличие вредоносного кода.
- Будьте осторожны с разрешениями, запрашиваемыми расширениями: если их требования выходят за рамки основной функции, лучше отказаться.
- Регулярно проверяйте свои пароли и активируйте двухфакторную аутентификацию для важных аккаунтов.
Как защитить свои данные и не стать жертвой подобных кампаний
Для усиления защиты рекомендуется использовать надежные антивирусные программы, которые вовремя предупредят о возможной угрозе. Также важно контролировать, не появились ли в браузере подозрительные изменения или странное поведение. В случае утечки данных или подозрений на компрометацию — меняйте пароли и проверяйте свои аккаунты на наличие несанкционированного доступа.
Следите за своим браузером и будьте на шаг впереди злоумышленников
Памятка для пользователей — периодически проверяйте установленные расширения, следите за их поведением и не доверяйте сомнительным источникам. Помните, что каждый дополнительный плагин — это потенциальная дверь для киберпреступников. Забота о безопасности поможет вам избежать серьезных проблем и сохранить личные данные в безопасности.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.