Немедленно удалите эти расширения из Chrome и Edge, если не хотите потерять доступы к банкам

Хакерская группировка, действующая под именем DarkSpectre, на протяжении семи лет систематически заражала компьютеры пользователей браузеров Chrome, Edge и Firefox. По данным Koi Security, их жертвами стало свыше 8,8 миллионов уникальных устройств. Масштабная операция включала три отдельных кампании и отличалась высоким уровнем координации и ресурсного обеспечения.

Расследование показало, что за кампаниями ShadyPanda, Zoom Stealer и GhostPoster, несмотря на их различную направленность (от кражи пользовательских данных до корпоративного шпионажа), стоит одна и та же преступная организация. Всего было задействовано более сотни расширений, распространявшихся через официальные магазины браузеров. При этом злоумышленники умело совмещали легальные функции (например, отображение погоды или создание новых вкладок) с вредоносной активностью, незаметной для большинства проверяющих систем.

Специалисты обратили внимание на инфраструктуру ShadyPanda и выявили, что два домена, используемые для реальных функций расширений, infinitynewtab.com и infinitytab.com, параллельно взаимодействовали с серверами управления вредоносной активностью. Эти домены стали ключом к объединению разрозненных на первый взгляд кампаний в единую цепочку.

Особую тревогу вызывает то, насколько долгое время злоумышленники сохраняли «спящие» расширения в браузерах без вредоносной нагрузки. В некоторых случаях вредоносный код активировался спустя неделю после установки. Более того, вредоносная активность запускалась лишь в части случаев, примерно на одном из десяти посещений сайтов, что существенно снижало вероятность обнаружения.

Методы сокрытия вредоносного кода в рамках этой операции достигли высокого уровня. Расширения загружали изображения в формате PNG, в которые было встроено скрытое JavaScript-содержимое. Логотип расширения служил прикрытием: при загрузке изображение расшифровывалось, код извлекался и исполнялся незаметно для пользователя.

Дополнительно загружавшийся код был защищён множеством уровней шифрования и маскировки, включая собственные методы кодирования, XOR-шифрование и упаковку, специально разработанную для обхода автоматических средств анализа. После активации расширения связывались с удалёнными серверами и загружали до 67 килобайт дополнительного JavaScript-кода. Это позволяло преступникам управлять действиями расширения, не прибегая к обновлению, что исключало повторную модерацию.

Подход DarkSpectre к распространению вредоносного кода оказался особенно эффективным благодаря архитектуре, при которой основная нагрузка подменялась на стороне серверов. Таким образом, невозможно устранить угрозу, просто заблокировав определённую версию расширения: содержимое меняется «на лету», без участия пользователя.

Список выявленных вредоносных расширений (кампания Zoom Stealer)