Për më shumë se shtatë vjet rreshtNjë operacion i krimit kibernetik në shkallë të gjerë ka arritur të depërtojë në shfletuesit kryesorë në treg, duke përfshirë Google Chrome dhe Microsoft Edge, përmes zgjerimeve në dukje të padëmshme. Shtrirja e sulmit është aq e gjerë sa vlerësohet se të paktën 8,8 milionë përdorues Njerëz në të gjithë botën mund të jenë prekur, shumë prej tyre në Evropë dhe Spanjë.
Hetimi, i udhëhequr nga specialistë të sigurisë kibernetike, siç është firma Koi.ai, ka zbuluar një rrjet kriminal shumë të organizuar, të quajtur si Spektri i Errëttë cilët dyshohet se kanë shfrytëzuar besimin në dyqanet zyrtare të zgjerimeve për të shpërndarë programe keqdashëse. Aspekti më shqetësues është se Shumica e të prekurve nuk kishin dyshime. se të dhënat e tyre bankare, kredencialet ose informacioni i korporatës po kapeshin në sfond.
Një sulm i heshtur që shfrytëzoi zgjerimet Chrome dhe Edge
Sipas të dhënave të zbuluara nga studiuesit, DarkSpectre ndërtoi një infrastrukturë komplekse për të publikuar dhe mirëmbajtur gati 300 zgjerime dashakeqe në dyqanet zyrtare të Chrome, Edge, Firefox dhe Opera. Shumë nga këto zgjerime u prezantuan si shërbime shumë të përditshme: nga menaxherët e skedave dhe përkthyesit, deri te bllokues reklamash ose mjete për të përmirësuar produktivitetin.
Truku ishte të ofroheshin fillimisht veçori legjitime, duke fituar kështu shkarkime dhe një reputacion të mirë bazuar në vlerësime dhe vlerësime pozitive të gjeneruara artificialishtPasi zgjerimet arritën një numër të konsiderueshëm përdoruesish, sulmuesit shtynë përditësime të fshehta që përfshinte kodin keqdashës pa vënë re përdoruesi ndonjë ndryshim të dukshëm në funksionim.
Në rastin e shfletuesve të bazuar në Chromium, si p.sh. Google Chrome dhe Microsoft EdgeU zbulua një rrjet zgjerimesh të tipit "Trojan horse" të maskuara si mjete personalizimi ose bllokues reklamash. U identifikua të paktën një fazë e sulmit. 30 zgjerime veçanërisht të njohura i aftë të vjedhë kredencialet bankare, fjalëkalimet e mediave sociale dhe të dhënat e formularëve të plotësimit automatik, duke i dërguar të gjitha këto informacione në kohë reale serverave nën kontrollin e kriminelëve kibernetikë.
Përveç vjedhjes së të dhënave, disa nga këto zgjerime përfshinin veçori të injektimi i reklamave dhe ridrejtimi i kërkimitKjo lejoi shfaqjen e reklamave ndërhyrëse, duke i ridrejtuar përdoruesit në faqet e phishing dhe duke shumëfishuar mundësitë e mashtrimit, duke përfshirë imitimin e faqeve të bankave ose shërbimeve të pagesave të përdorura gjerësisht në Spanjë dhe pjesën tjetër të Evropës.
Më shumë se 8,8 milionë viktima dhe tre fushata të mëdha të koordinuara
Madhësia e sulmit pasqyrohet në shifrat e trajtuara nga shërbimet e inteligjencës dhe kompanitë e sigurisë kibernetike: vlerësohet se 8,8 miliona përdorues Ata janë prekur në mbarë botën nga fushatat e ndryshme të lidhura me DarkSpectre. Për ta arritur këtë, grupi thuhet se ka mbajtur tre linja të dallueshme sulmi, i njohur si ShadyPanda, GhostPoster dhe Zoom Stealer.
Fushata ShadyPanda Ishte më agresivi për sa i përket vëllimit. Përmes më shumë se 100 zgjerime keqdashëse, që synonte kryesisht manipulimin e trafikut të tregtisë elektronike, do të kishte kompromentuar të dhënat e afërsisht 5,6 milion përdoruesPasi aktivizoheshin funksionet e fshehura, këto zgjerime mund të modifikonin lidhjet në portalet e blerjeve, të ridrejtonin pagesat në faqe mashtruese ose të injektonin kod shtesë për të vazhduar gjurmimin e aktivitetit të përdoruesit.
Ekspertët theksojnë se këto manovra ndikuan në dyqanet online dhe shërbimet e pagesave të përdorura gjerësisht në Bashkimin Evropian, duke hapur derën për mashtrim financiar ndërkufitar dhe probleme të mundshme të pajtueshmërisë rregullatore për platformat që nuk e zbuluan manipulimin e trafikut në kohë.
Ofensiva e dytë e madhe, e quajtur GhostPosterSynimi i tij kryesor ishin shfletuesit Firefox dhe Operai cili kishte kontrolle sigurie disi më pak të rrepta se Chrome dhe Edge. Në këtë rast, faktori dallues ishte përdorimi i steganografiaSulmuesit fshehën kodin keqdashës JavaScript brenda skedarëve të imazheve PNG, duke u lejuar atyre të ekzekutonin udhëzime nga distanca dhe të shkarkonin module të reja keqdashëse pa ngritur dyshime.
Një nga shembujt më të habitshëm ishte klonimi i një zgjatimi të Përkthe me Google për Operani cili në shikim të parë dukej si një mjet i ligjshëm. Megjithatë, prapa skenave, instaloi një derë të pasme duke përdorur një iframe I fshehur, ai çaktivizoi mbrojtjet kundër mashtrimit të shfletuesit dhe krijoi një lidhje me serverat e lidhur më parë me operacione të tjera të DarkSpectre, duke krijuar një kanal aksesi të përhershëm në sistemin e viktimës.
Zoom Stealer: Një hap drejt spiunazhit në video-thirrjet e korporatave
Faza e tretë e sulmit, e identifikuar si Vjedhësi i Zoom-it, bëri një hap cilësor duke u përqendruar tërësisht në Mjedis biznesiDeri në fund të vitit 2025, studiuesit zbuluan të paktën 18 zgjerime specifike të synuara në platformat e videokonferencave si Zoom, Microsoft Teams dhe Google Meet, me një ndikim të vlerësuar në 2,2 miliona përdorues.
Këto zgjatje u promovuan si plotësuese ideale për punën në distancë dhe takimet në distancë: ata premtuan përmbledh videot, ruani lidhjet me interes, gjeneroni listat e pjesëmarrësve ose gjeneroni një përmbledhje automatike të secilës seancë. Një profil shumë tërheqës për kompanitë spanjolle dhe evropiane që kanë konsoliduar punën hibride dhe në distancë vitet e fundit.
Pas instalimit të tyre, mjetet filluan të kapni informacione kritike nga video-thirrjet: lidhjet e aksesit, ID-të e takimeve, fjalëkalimet e mysafirëve dhe, në disa raste, përmbajtje ose meta të dhëna të përbashkëta që lidhen me prezantimet dhe dokumentet e diskutuara gjatë seancave.
Me këto të dhëna, sulmuesit ishin në gjendje të hynin në takime private, shumë prej të cilave të nivelit të lartë, dhe të krijonin depo të inteligjencë profesionale dhe komerciale me vlerë të jashtëzakonshme strategjike. Sipas burimeve të konsultuara, komunikimet e brendshme në lidhje me planet e biznesit, marrëveshjet e investimeve, strategjitë e tregut dhe çështje të tjera shumë të ndjeshme ndaj konkurrueshmërisë së kompanive të përfshira ishin kompromentuar.
Paralelisht, Zoom Stealer shfrytëzoi lejet e gjera të dhëna zgjerimeve për të kryer nxjerrje kredencialesh në kohë realeKjo përfshinte kredencialet e hyrjes së korporatave, çelësat e qasjes në mjetet e cloud-it dhe profilet profesionale që më pas mund të ripërdoreshin në sulme të synuara, të tilla si fushatat shumë të personalizuara të phishing kundër punonjësve të organizatave evropiane.
Ndikimi te përdoruesit dhe kompanitë në Evropë dhe Spanjë
Rasti DarkSpectre ka nxjerrë në pah shkallën në të cilën zinxhiri i besuar i dyqaneve të zgjatjeve të flokëve Kjo mund të bëhet një dobësi për qytetarët dhe organizatat. Edhe pse sulmi pati një shtrirje globale, autoritetet evropiane dhe ekipet e reagimit ndaj incidenteve në disa vende, përfshirë Spanjën, po monitorojnë nga afër ndikimin te përdoruesit vendas.
Për përdoruesit individualë, pasojat përkthehen në mbikëqyrje të fshehtë të tij aktivitet onlineVjedhje e mundshme e identitetit, pagesa të paautorizuara për blerjet online dhe rrjedhje të të dhënave personale që mund të përfundojnë në forume klandestine. Shumë viktima as nuk do ta kuptojnë se janë shënjestruar, pasi shumica e zgjerimeve duket se funksionojnë normalisht.
Në sferën e korporatave, goditja është edhe më serioze. Kompanitë evropiane që e bazojnë një pjesë të madhe të operacioneve të tyre në mjetet cloud dhe videokonferencat po përballen me... rreziqet e spiunazhit industrialRrjedhjet e marrëveshjeve strategjike dhe ekspozimi i informacionit konfidencial në lidhje me klientët, furnizuesit dhe partnerët. Për më tepër, kompanitë mund të detyrohen të raportojnë incidente sigurie sipas rregulloreve të tilla si Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave (RGPD)duke supozuar kostot e reputacionit dhe sanksionet e mundshme.
Raportet paraprake sugjerojnë se rrjeti kriminal mund të ketë ndërtuar skema autentike. depot e të dhënave të korporatave Ky informacion merret nëpërmjet bisedave private, dokumenteve të ndara në takime dhe aksesit të paautorizuar në intranet ose shërbime të brendshme. Është jashtëzakonisht i vlefshëm për shitje në tregjet e zeza, si dhe për fushata shantazhi ose konkurrencë të padrejtë.
Autoritetet evropiane po bashkëpunojnë me ofruesit e teknologjisë për të përmirësuar sistemet e zbulimit në dyqanet e zgjatjeve të flokëve dhe për të forcuar kontrollet mbi përdorimin e të dhënave personale. Megjithatë, ekspertët theksojnë se Asnjë sistem i automatizuar nuk është i pagabueshëm dhe se vija e fundit e mbrojtjes mbetet përdoruesi dhe zakonet e tij të sigurisë.
Si të mbroheni pas sulmit masiv kibernetik në Chrome dhe Edge
Përballë një skenari kaq të zgjatur dhe të sofistikuar, ekspertët e sigurisë kibernetike rekomandojnë një sërë masash të menjëhershme për të... zvogëloni ndikimin të sulmit dhe për të parandaluar infeksione të mëtejshme, veçanërisht midis përdoruesve të Chrome dhe Edge në Spanjë dhe pjesën tjetër të Evropës.
Hapi i parë është të kryhet një auditim i plotë i zgjerimeve Këto shtesa instalohen në të gjithë shfletuesit. Këshillohet që t'i rishikoni një nga një dhe të çinstaloni çdo shtesë që nuk njihet, nuk përdoret rregullisht ose nuk vjen nga një zhvillues i besuar. Nëse keni dyshime, është më mirë ta hiqni dhe ta riinstaloni vetëm nga burimi i ofruesit zyrtar nëse është absolutisht e nevojshme.
Është gjithashtu e rëndësishme të kontrolloni që shfletuesi është azhurnuar në versionin më të fundit në dispozicionSi Google ashtu edhe Microsoft kanë përfshirë patch-e për të bllokuar disa nga teknikat e përdorura nga DarkSpectre, kështu që versionet më të fundit përfshijnë përmirësime specifike në zbulimin e sjelljeve të dyshimta dhe në menaxhimin e lejeve të zgjerimeve.
Lidhur me llogaritë online, rekomandohet të ndryshoni fjalëkalime për shërbime kritike (email, shërbime bankare online, media sociale, mjete të korporatave) nëse ka ndonjë dyshim për përdorimin e një shtojce të kompromentuar. Këshillohet që të shfrytëzoni këtë mundësi për të përdorur fjalëkalime unike dhe të forta për secilin shërbim, idealisht me ndihmën e një menaxheri fjalëkalimesh.
Për më tepër, specialistët këmbëngulin në aktivizimin e vërtetimi me dy faktorë (2FA) sa herë që është e mundur. Ky mekanizëm shton një shtresë shtesë mbrojtjeje, në mënyrë që edhe nëse një sulmues merr një fjalëkalim, do të jetë shumë më e vështirë për të që të hyjë në llogari pa kodin e përkohshëm ose elementin e dytë të verifikimit.
Së fundmi, për organizatat që mbështeten shumë në platforma si Zoom, Teams ose Google Meet, rekomandohet të zbatohet inspektime periodike të zgjerimeve të instaluara në shfletuesit e korporatave, zbatoni politikat e sigurisë që kufizojnë instalimin e shtesave të paautorizuara dhe trajnojnë punonjësit për të zbuluar mashtrimet e mundshme, si në zgjerime ashtu edhe në email-e ose lidhje që mund të shoqërojnë fushata të ngjashme.
Çdo gjë e zbuluar rreth DarkSpectre dhe fushatave të saj ShadyPanda, GhostPoster dhe Zoom Stealer pasqyron shkallën në të cilën Zgjerimet e shfletuesit janë bërë një objektiv prioritar Për kriminelët kibernetikë, kombinimi i besimit në dyqanet zyrtare, veçoritë e dobishme dhe vlerësimet e manipuluara i ka lejuar ata të përballojnë një sulm të heshtur për vite me radhë me një ndikim të madh tek përdoruesit individualë dhe kompanitë. Kjo na detyron të rimendojmë mënyrën se si i instalojmë dhe i menaxhojmë këto shtesa në jetën tonë të përditshme dixhitale.
