L'acteur malveillant à l'origine de deux campagnes malveillantes d'extension de navigateur, ShadyPanda et GhostPoster, a été accusé d'une troisième campagne d'attaque nommée DarkSpectre qui a touché 2,2 millions d'utilisateurs de Google Chrome, Microsoft Edge et Mozilla Firefox.
On pense que cette activité est l’œuvre d’un acteur menaçant chinois que Koi Security suit sous le surnom. spectre sombre. Au total, les campagnes ont touché collectivement plus de 8,8 millions d'utilisateurs sur une période de plus de sept ans.
ShadyPanda a été démasqué pour la première fois par la société de cybersécurité plus tôt ce mois-ci comme ciblant trois utilisateurs de navigateurs pour faciliter le vol de données, le détournement de requêtes de recherche et la fraude d'affiliation. Il a été constaté qu'il affecte 5,6 millions d'utilisateurs, dont 1,3 victimes nouvellement identifiées provenant de plus de 100 extensions marquées comme connectées au même groupe.
Cela inclut également un plugin Edge appelé « New Tab – Custom Panel » qui introduit une bombe logique qui attend trois jours avant de déclencher son comportement malveillant. L'activation retardée est une tentative de donner l'impression qu'elle est légitime pendant la période d'examen et d'obtenir votre approbation.
Neuf de ces extensions sont actuellement actives, avec 85 « dormants » supplémentaires qui sont inoffensifs et destinés à attirer une base d'utilisateurs avant qu'ils ne soient militarisés via des mises à jour malveillantes. Koi a déclaré que les mises à jour avaient été introduites après plus de cinq ans dans certains cas.
La deuxième campagne, GhostPoster, cible principalement les utilisateurs de Firefox, en leur proposant des utilitaires et des outils VPN apparemment inoffensifs pour diffuser du code JavaScript malveillant conçu pour détourner les liens d'affiliation, injecter des codes de suivi et commettre des fraudes aux clics et aux publicités. Une enquête plus approfondie sur cette activité a permis de découvrir davantage de modules complémentaires de navigateur, notamment une extension Google Translate (développeur « charliesmithbons ») pour Opera avec près d'un million d'installations.
La découverte la plus récente, The Zoom Stealer, est la troisième campagne de ce type de DarkSpectre, qui utilise un ensemble de 18 extensions dans Chrome, Edge et Firefox pour faciliter l'intelligence d'entreprise en collectant des données liées aux réunions en ligne, telles que les URL de réunion avec mots de passe intégrés, les identifiants de réunion, les sujets, les descriptions, les heures programmées et le statut d'inscription.
La liste des extensions identifiées et leurs identifiants correspondants est ci-dessous :
Google Chrome-
- Capture audio Chrome (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED : Zoom Easy Downloader (pdadlkbckhinonakkkfkdaadceojbekep)
- Téléchargeur de vidéos X (Twitter) (akmdionenlnfcipmdhbhcnkighafmdha)
- Admission automatique à Google Meet (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us affiche toujours « Rejoindre depuis le Web » (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Minuterie pour Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR : Enregistreur vidéo Chrome (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar et GoToMeeting Télécharger les enregistrements (cphibdhgbdoekmkkcbbaoogedpfibeme)
- En savoir plus sur l'admission automatique (ceofheakaalaecnecdkdanhejojkpeai)
- Paramètre Google Meet (émojis, texte, effets de caméra) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Couper le son de tout le monde sur Meet (adjoknoacleghaejlggocbakidkoifle)
- Google Meet Push to Talk (pgpidfocdapogajplhjofamgeboonmmj)
- Téléchargeur de photos pour Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Extension Zoomcoder (ebhomdageggjbmomenipfbhcjamfkmbl)
- Rejoindre automatiquement Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Edge-
- Capture audio Edge (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox-
- x-video-downloader (xtwitterdownloader@benimaddonum.com, posté par “invaliddejavu”)
Comme le montrent les noms des extensions, la plupart d'entre elles sont conçues pour imiter les outils des applications de visioconférence orientées entreprise telles que Google Meet, Zoom et GoTo Webinar afin de filtrer les liens de réunion, les informations d'identification et les listes de participants via une connexion WebSocket en temps réel.
Il est également capable de collecter des détails sur les conférenciers et les hôtes du webinaire, tels que les noms, les titres, les biographies, les photos de profil et les affiliations à l'entreprise, ainsi que les logos, les graphiques promotionnels et les métadonnées de session, chaque fois qu'un utilisateur visite une page d'inscription au webinaire via le navigateur avec l'une des extensions installées.
Il a été constaté que ces modules complémentaires demandent l'accès à plus de 28 plates-formes de visioconférence, notamment Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams et Zoom, entre autres, qu'ils en aient ou non besoin au départ.
“Il ne s'agit pas d'une fraude à la consommation, mais d'une infrastructure d'espionnage industriel”, ont déclaré les chercheurs Tuval Admoni et Gal Hachamov. “Zoom Stealer représente quelque chose de plus spécifique : la collecte systématique de renseignements lors de réunions d'entreprise. Les utilisateurs ont obtenu ce qui était annoncé. Les extensions ont gagné en confiance et ont reçu des critiques positives. Pendant ce temps, la surveillance se déroulait discrètement en arrière-plan.”
La société de cybersécurité a déclaré que les informations collectées pourraient être utilisées pour alimenter l’espionnage industriel en vendant les données à d’autres acteurs malveillants et permettre des opérations d’ingénierie sociale et de phishing à grande échelle.
Les liens chinois avec l'opération reposent sur plusieurs indices : utilisation cohérente de serveurs de commande et de contrôle (C2) hébergés sur Alibaba Cloud, registres de fournisseurs de contenu Internet (ICP) liés à des provinces chinoises telles que le Hubei, artefacts de code contenant des chaînes et des commentaires en chinois et stratagèmes frauduleux ciblant spécifiquement les plateformes de commerce électronique chinoises telles que JD.com et Taobao.
“DarkSpectre dispose probablement de plus d'infrastructures à ce stade : des extensions qui semblent tout à fait légitimes parce qu'elles le sont, pour l'instant”, a déclaré Koi. “Ils sont encore dans la phase d'établissement de la confiance, accumulant des utilisateurs, gagnant des badges, attendant.”