DarkSpectre: Китайский угрозоносный актор стоит за крупнейшими кампаниями вредоносных расширений для браузеров

Согласно отчету, DarkSpectre представляет собой хорошо финансируемую китайскую группу угрозоносных акторов (APT), которая ведет параллельные, технически сложные операции на всех основных платформах: Chrome, Edge, Firefox и Opera. Её деятельность опровергает представление об угрозах через расширения как о разрозненных атаках случайных мошенников. Вместо этого мы видим профессиональную операцию, демонстрирующую терпение, изощренность и масштабы, сопоставимые с деятельностью государственных структур.

Три лица одной угрозы: от мошенничества до корпоративного шпионажа

Анализ инфраструктуры и кода позволил исследователям связать воедино три, казалось бы, разные кампании, которые ведет одна и та же группа.

• ShadyPanda (5,6 млн жертв). Это флагманская операция, действующая около семи лет. Группа загружала легитимные расширения (новые вкладки, переводчики), годами поддерживала их, получая статусы «Проверено» и «Рекомендуется», а затем одним обновлением превращала всю установленную базу в шпионское ПО. Расширения занимаются массовым сбором данных, перенаправлением поисковых запросов и партнерским мошенничеством на китайских площадках, таких как Taobao. Исследователи обнаружили более 100 связанных расширений, причем 85 из них пока остаются «спящими» - легитимными, но способными быть активированными в любой момент.
• GhostPoster (1,05 млн жертв). Эта кампания отличается скрытностью доставки вредоносной нагрузки (payload). Вредоносный код маскируется внутри файлов PNG-иконок с помощью стеганографии. Расширение загружает свой собственный логотип, извлекает скрытый JavaScript и выполняет его. Недавно была обнаружена новая часть этой кампании - расширение «Google™ Translate» в магазине Opera с почти миллионом установок. Оно снимает защиту с посещаемых сайтов и устанавливает скрытый бэкдор.
• The Zoom Stealer (2,2 млн жертв, новая кампания). Наиболее тревожная из обнаруженных операций, раскрытая впервые. Её цель - не мошенничество, а систематический сбор корпоративной разведывательной информации. Вредоносные расширения, маскирующиеся под инструменты для работы с видео (загрузчики, таймеры для встреч), запрашивают доступ к 28+ платформам для видеоконференций, включая Zoom, Microsoft Teams и Google Meet. Они в реальном времени перехватывают ссылки на встречи с паролями, списки участников, данные докладчиков и их компаний, создавая поисковую базу данных. Эта информация представляет высокую ценность для корпоративного шпионажа, социальной инженерии и целевых фишинговых атак.

Связующая нить: инфраструктура и терпение

Исследователи смогли связать кампании, отследив общую инфраструктуру. Отправной точкой послужили легитимные домены, такие как infinitynewtab.com, которые использовались как в безвредных, так и в вредоносных функциях разных расширений. Это позволило выявить сеть из более чем 100 расширений.

Ключевой характеристикой DarkSpectre является исключительное терпение. Группа годами поддерживает легитимную функциональность расширений, чтобы заработать доверие пользователей и магазинов. Некоторые инструменты активируют вредоносную нагрузку только через три дня после установки, что позволяет обойти процедуры проверки магазинов. Управление осуществляется через конфигурационные файлы с удаленных серверов, что позволяет менять поведение расширений без публикации обновлений.

Китайский след и стратегические цели

Атрибуция указывает на китайское происхождение группы. Серверы управления расположены на инфраструктуре Alibaba Cloud в Китае, код содержит китайские строки и комментарии, а схемы мошенничества заточены под местные платформы. Сочетание масштаба, технической сложности, разнообразия целей и долгосрочной стратегии свидетельствует о наличии у оператора значительных ресурсов.

Эксперты предупреждают, что DarkSpectre, вероятно, имеет в своем распоряжении и другие «спящие» расширения, которые пока не проявили вредоносной активности. Раскрытые три кампании - лишь часть айсберга. Их история демонстрирует фундаментальную уязвимость модели безопасности магазинов расширений, где проверка часто происходит лишь однократно при загрузке, в то время как злоумышленники могут изменить поведение в любой момент. Это создает серьезные риски как для обычных пользователей, так и для корпоративного сектора, чьи конфиденциальные обсуждения могут стать целью для шпионажа.

IPv4

• 58.144.143.27

Domains

• diytab.com
• gmzdaily.com
• infinitynewtab.com
• infinitytab.com
• istartnewtab.com
• jt2x.com
• letsearchesp.com
• meetingtv.us
• muo.cc
• policies.extfans.com
• userscss.top
• webinarstvus.cloudfunctions.net
• websiteshare.cn
• zhuayuya.com
• zoocorder.firebaseio.com

Chrome - The Zoom Stealer

• kfokdmfpdnokpmpbjhjbcabgligoelgp
• pdadlkbckhinonakkfkdaadceojbekep
• akmdionenlnfcipmdhbhcnkighafmdha
• pabkjoplheapcclldpknfpcepheldbga
• aedgpiecagcpmehhelbibfbgpfiafdkm
• dpdgjbnanmmlikideilnpfjjdbmneanf
• kabbfhmcaaodobkfbnnehopcghicgffo
• cphibdhgbdoekmkkcbbaoogedpfibeme
• ceofheakaalaecnecdkdanhejojkpeai
• dakebdbeofhmlnmjlmhjdmmjmfohiicn
• adjoknoacleghaejlggocbakidkoifle
• pgpidfocdapogajplhjofamgeboonmmj
• ifklcpoenaammhnoddgedlapnodfcjpn
• ebhomdageggjbmomenipfbhcjamfkmbl
• ajfokipknlmjhcioemgnofkpmdnbaldi

Edge - The Zoom Stealer

• mhjdjckeljinofckdibjiojbdpapoecj

Firefox - The Zoom Stealer

• {7536027f-96fb-4762-9e02-fdfaedd3bfb5}
• xtwitterdownloader@benimaddonum.com

Chrome - Shady Panda

• aikflfpejipbpjdlfabpgclhblkpaafo
• dbfmnekepjoapopniengjbcpnbljalfg
• nnnkddnnlpamobajfibfdgfnbcnkgngh
• ppfdcmempdfjnanjegmjhanplgjicefg
• fmiefmaepcnjahoajkfckenfngfehhma
• edojphplonjclmfckdiolpahpgcanjnh
• bjehnpiidogpaocjjfhnopdjcahigggm
• kdgjiakonpbfmndaacfhamdoangincgp
• dihekmadkkcgnffajefocfamnpimlhah
• eijnkinhnplaekpllmgbbfieecdhcmcp
• mdlkdelnchilkeedllnnjfigkhhadlff
• agepkkdokhlaoiaenedmjbfnblfdiboc
• epepbcdeelckgplpmmmnmjplbeipgllo
• makeekhnfplggoaiklkphfopajegajci
• cahdpfhnokmnnjhoaoliabdbcbbokmgc
• mmpfmolbdhdfoblfggigchncdgmdnjha
• knejepegjmjmjlhficbikmblnbemdpke
• cjlabngphhjjdapemkdnpgkpebkpjbbe
• jeaebbdndojkbnnfcaihgokhnakocbnf
• bajoeadpdidoahbhphmhejmbdmgnbdci
• goiffchdhlcehhgdpdbocefkohlhmlom
• djkddblnfgendjoklmfmocaboelkmdkm
• codgofkgobbmgglciccjabipdlgefnch
• cicnbbdlbjaoioilpbdioeeaockgbhfi
• mchacgmgddefeohkjobefhihbadocneh
• oelcnhfgpdjeocflhhfecinnpjojeokp
• fllcifcfhgmmfpogmpedgbjccnjalpjo
• fmgaogkbodhdhhbgkphhbokciiecllno
• dkbpkjhegfanacodkmfjeackckmehkfp
• jooiimddfkjoomennmpjabdbbpdocjng
• dekjibpkbhgbnmnfibnibnjoccaphfog
• mnamhmcgcfflfjafflanbhbfffpmkmmm
• ambcheakfbokmebglefpbbphbccekhhl
• nmaegedpdmepbkahckadmaolllgmogma
• doeomodlafdbbnajjllemacdfphbbohl
• meobjhkdifjealkiaanikkpajiaalcad
• kfdopiiledmclnopmihkclnfgdiggjna
• cfgiodgnkinmacjkgjgdejeciohojglp
• okepehobneenpbhiendcjcanjodhmcbj
• cdgonefipacceedbkflolomdegncceid
• bgkdocoihppjkdfaghndpjlfoehjcmka
• ldmnodpmebcfcdkejkdakphbcjnmejlf
• pdfladlchakneeclhmpoboohikpbchkj
• gipnpcencdgljnaecpekokmpgnhgpela
• idholfkkmfccbondfiabhlmdfeamnnaj
• bpgaffohfacaamplbbojgbiicfgedmoi
• jdehnhjckcbfdkgnlbfjokofagpbbdgl
• dijcdmefkmlhnbkcejcmepheakikgpdg
• gndlcpbcmhbcaadppjjekgbhfhceeikm
• lepdjbhbkpfenckechpdfohdmkhogojf
• hbjeophpjnopmeheabcilmgdhnnjbmbo
• dlfjoijnhjeagkenhbililbdiooginng
• kolgdodmgnnhnijmnnidfabnghgakobl

Edge - Shady Panda

• edohfgmjmdnibeihfcajfclmhapjkooa
• pdjpkfbpeniinkdlmibcdebccnkimnna
• hmpjibmngagmkafmijncjokocepchnea
• kljbaedmklfnlgfmmbodnckafhllkjnd
• lmppkgmbapjgihlpadknmfalefnfnfnd
• ldghoefcghcinacfneopmnechojlhldf
• mgjfjcimpkdjgeldkcaoboiojmlcleka
• aghafppaelpjbjajpgcogcojcbmappoi
• kgdjeaonamhfooejllllfpeappcgfpod
• knjgknhkgmedmajpkhooaagjgfgbcndo
• apoklfecapckgpbbcpaiebemaghmkncf
• podfjomopoejmlkfnhanlmlagcnlappd
• idngjfdlfbfgecemidnhbdcogggnjkpg
• kghabofklgjfnipgkjadlogcjbebkeid
• fmmfeaoidanfcipomjfolmchjdnhmaio
• cfmfokegjjljmdcdpnmlfajlddngkoah
• eoimljninkkepafoijpgbedkkieobfek
• ojmaccnnagaiokckbcpdldhnifkibcah
• bhoebgegnjoehioianjnjakeeggajanb
• edojphplonjclmfckdiolpahpgcanjnh
• leaglmohfmgdengbciphnodmcgfgdgnf
• ljdhejdbbogemelgkihbabifpfdfomcc
• hfokkkgobhlkcagflcbgcokdbnknfngo
• hilgkhepkfjdkkdigphhcgmghefdledg
• jipclfaahkhinbelbojjblmbcpkaipko
• cmckpheolajgbmhlfhgelajhhfgjbhpk
• jjdhjfgoadphekgihokkigfghndfmffb
• nelegdbdfopcgkignnifhdoiapldlhpf
• dnojfjfegklgconkoekfkaajejmdgdkj
• nnceocbiolncfljcmajijmeakcdlffnh
• dacliiapfipnlipdmifioaijepgmhdga
• cpbbiepjnljbnngpepgeaojjeneacpld
• ocopipabchoopeppmgiigphgbicocoea
• gfechfioaanebemclajhfgkfaopcaibo
• hoclolhilhbecpefaignjficiaaclpop
• ibmdocjlknaopfecmnojomdlbeadpdnb
• ckdbfeccfocmhdclmmofmheljglmhhne
• gddkghdkhhlihaabphhnjbhdoiifhcpa

Firefox - Shady Panda

• {34b0d04c-29cf-473c-bb6c-c2fe94377b99}
• {7cc10397-c6f4-4a27-a1e7-83b870dd6cab}
• nickyfeng2@edgetranslate.com
• 1305302314@qq.com
• mail@imba97.cn
• {99d4bddd-5452-4216-83bc-fcd57857b6fb}
• {f7d2c8aa-e06e-4117-8b99-52a145eb7d23}
• {5f246670-f5e2-45ff-b183-be21cbeb065a}
• {c257a965-0bf8-4934-bf85-9ebf761d1cf8}