Na viac ako sedem rokov po sebeRozsiahla kybernetická kriminalita dokázala infiltrovať hlavné prehliadače na trhu vrátane Google Chrome a Microsoft Edge prostredníctvom zdanlivo neškodných rozšírení. Rozsah útoku je taký rozsiahly, že sa odhaduje, že najmenej 8,8 milióna používateľov Mohli byť postihnutí ľudia na celom svete, mnohí z nich v Európe a Španielsku.
Vyšetrovanie, ktoré viedli špecialisti na kybernetickú bezpečnosť, ako napríklad firma Koi.ai, odhalila vysoko organizovanú zločineckú sieť s názvom DarkSpectrektorí údajne zneužívali dôveru v oficiálne obchody s rozšíreniami na distribúciu malvéru. Najznepokojujúcejším aspektom je, že Väčšina postihnutých nemala žiadne podozrenie. že ich bankové údaje, prihlasovacie údaje alebo firemné informácie boli zaznamenávané v pozadí.
Tichý útok, ktorý zneužíval rozšírenia prehliadača Chrome a Edge
Podľa údajov zverejnených výskumníkmi si DarkSpectre vybudoval komplexnú infraštruktúru na publikovanie a údržbu takmer 300 škodlivých rozšírení v oficiálnych obchodoch prehliadačov Chrome, Edge, Firefox a Opera. Mnohé z týchto rozšírení boli prezentované ako bežné nástroje: od správcov kariet a prekladačov až po blokátory reklám alebo nástroje na zvýšenie produktivity.
Trik spočíval v tom, že sa spočiatku ponúkli legitímne funkcie, čím sa získali stiahnutia a dobrá reputácia na základe... umelo generované pozitívne recenzie a hodnoteniaKeď rozšírenia dosiahli významný počet používateľov, útočníci ich spustili skryté aktualizácie ktorý obsahoval škodlivý kód bez toho, aby si používateľ všimol akékoľvek zjavné zmeny v prevádzke.
V prípade prehliadačov založených na prehliadači Chromium, ako napr. Google Chrome a Microsoft EdgeBola zistená sieť rozšírení typu trójskeho koňa maskovaných ako nástroje na prispôsobenie alebo blokovače reklám. Identifikovaná bola aspoň jedna fáza útoku. 30 obzvlášť populárnych rozšírení schopné ukradnúť bankové prihlasovacie údaje, heslá zo sociálnych médií a údaje automatického vypĺňania formulárov a všetky tieto informácie v reálnom čase odoslať na servery pod kontrolou kyberzločincov.
Okrem krádeže údajov obsahovalo niekoľko z týchto rozšírení funkcie vkladanie reklamy a presmerovanie vyhľadávaniaTo umožnilo zobrazovanie rušivých reklám, presmerovanie používateľov na phishingové stránky a znásobenie možností podvodov vrátane vydávania sa za bankové stránky alebo platobné služby široko používané v Španielsku a zvyšku Európy.
Viac ako 8,8 milióna obetí a tri hlavné koordinované kampane
Rozsah útoku sa odráža v údajoch, ktoré majú k dispozícii spravodajské služby a spoločnosti zaoberajúce sa kybernetickou bezpečnosťou: odhaduje sa, že 8,8 miliónov používateľov Na celom svete ich ovplyvnili rôzne kampane spojené s DarkSpectre. Na dosiahnutie tohto cieľa skupina údajne udržiavala tri odlišné útočné línie, známy ako ShadyPanda, GhostPoster a Zoom Stealer.
kampaň ShadyPanda Bola najagresívnejšia z hľadiska objemu. Prostredníctvom viac ako 100 škodlivých rozšírení, primárne zameraný na manipuláciu s návštevnosťou elektronického obchodu, by ohrozil údaje približne 5,6 miliónov používateľovPo aktivácii skrytých funkcií mohli tieto rozšírenia upravovať odkazy na nákupných portáloch, presmerovávať platby na podvodné stránky alebo vkladať ďalší kód na ďalšie sledovanie aktivity používateľov.
Odborníci poukazujú na to, že tieto manévre ovplyvnili internetové obchody a široko používané platobné služby v Európskej únii, čím otvorili dvere cezhraničné finančné podvody a potenciálne problémy s dodržiavaním predpisov pre platformy, ktoré včas nezistili manipuláciu s prevádzkou.
Druhá veľká ofenzíva, tzv. GhostPlagátJeho hlavným cieľom boli prehliadače Firefox a Operaktorý mal o niečo menej prísne bezpečnostné kontroly ako Chrome a Edge. V tomto prípade bolo rozlišovacím faktorom použitie steganografiaÚtočníci skryli škodlivý kód JavaScript v obrazových súboroch PNG, čo im umožnilo vykonávať vzdialené pokyny a sťahovať nové moduly škodlivého softvéru bez toho, aby vzbudili podozrenie.
Jedným z najvýraznejších príkladov bolo klonovanie rozšírenia Prekladač Google pre Operuktorý sa na prvý pohľad javil ako legitímny nástroj. V zákulisí však nainštaloval zadné vrátka pomocou iframe Skrytý, deaktivoval ochranu prehliadača proti podvodom a nadviazal spojenie so servermi, ktoré boli predtým prepojené s inými operáciami DarkSpectre, čím vytvoril trvalý prístupový kanál k systému obete.
Zoom Stealer: Skok do sveta špionáže vo firemných videohovoroch
Tretia fáza útoku, identifikovaná ako Zlodej Zoomu, urobil kvalitatívny skok tým, že sa úplne zameral na Podnikateľské prostredieDo konca roka 2025 výskumníci zistili najmenej 18 špecifických rozšírení zamerané na platformy videokonferencií, ako sú Zoom, Microsoft Teams a Google Meet, s odhadovaným vplyvom na 2,2 miliónov používateľov.
Tieto rozšírenia boli propagované ako ideálne doplnky pre prácu na diaľku a stretnutia na diaľku: sľubovali zhrnúť videá, uložiť zaujímavé odkazy, generovať zoznamy účastníkov alebo vygenerovať automatické zhrnutie každej relácie. Veľmi atraktívny profil pre španielske a európske spoločnosti, ktoré v posledných rokoch konsolidovali hybridnú a vzdialenú prácu.
Po ich inštalácii sa nástroje začali zachytiť kritické informácie z videohovorov: prístupové odkazy, ID stretnutí, heslá hostí a v niektorých prípadoch aj zdieľaný obsah alebo metadáta súvisiace s prezentáciami a dokumentmi diskutovanými počas stretnutí.
S týmito údajmi mali útočníci prístup k súkromným stretnutiam, z ktorých mnohé boli na vysokej úrovni, a vytvorili repozitáre profesionálne a obchodné spravodajstvo s obrovskou strategickou hodnotou. Podľa konzultovaných zdrojov bola ohrozená interná komunikácia týkajúca sa obchodných plánov, investičných dohôd, trhových stratégií a iných záležitostí vysoko citlivých na konkurencieschopnosť zúčastnených spoločností.
Súbežne s tým Zoom Stealer využil široké povolenia udelené rozšíreniam na vykonávanie exfiltrácia poverení v reálnom časePatrili sem firemné prihlasovacie údaje, prístupové kľúče ku cloudovým nástrojom a profesionálne profily, ktoré sa potom dali opätovne použiť pri cielených útokoch, ako sú napríklad vysoko prispôsobené phishingové kampane proti zamestnancom európskych organizácií.
Dopad na používateľov a spoločnosti v Európe a Španielsku
Prípad DarkSpectre poukázal na rozsah, v akom dôveryhodný reťazec obchodov s predlžovaním vlasov Toto by sa mohlo stať zraniteľnosťou pre občanov a organizácie. Hoci útok mal globálny dosah, európske orgány a tímy pre reakciu na incidenty vo viacerých krajinách vrátane Španielska pozorne sledujú jeho dopad na miestnych používateľov.
Pre jednotlivých používateľov sa dôsledky prejavujú takto tajné sledovanie jeho online aktivituMožná krádež identity, neoprávnené poplatky za online nákupy a úniky osobných údajov, ktoré by sa mohli dostať na tajné fóra. Mnohé obete si ani neuvedomia, že sa stali terčom útoku, pretože väčšina rozšírení zdanlivo fungovala normálne.
V korporátnej sfére je úder ešte vážnejší. Európske spoločnosti, ktoré zakladajú veľkú časť svojich operácií na cloudových nástrojoch a videokonferenciách, čelia... riziká priemyselnej špionážeÚniky strategických dohôd a zverejnenie dôverných informácií o klientoch, dodávateľoch a partneroch. Okrem toho môžu byť spoločnosti povinné hlásiť bezpečnostné incidenty podľa predpisov, ako napríklad Všeobecné nariadenie o ochrane údajov (RGPD)za predpokladu nákladov na reputáciu a prípadných sankcií.
Predbežné správy naznačujú, že zločinecká sieť si mohla vybudovať autentické firemné dátové sklady Tieto informácie sa získavajú prostredníctvom súkromných rozhovorov, dokumentov zdieľaných na stretnutiach a neoprávneného prístupu k intranetovým sieťam alebo interným službám. Sú mimoriadne cenné na predaj na čiernych trhoch, ako aj na vydieranie alebo nekalu súťaž.
Európske orgány spolupracujú s poskytovateľmi technológií na zlepšení detekčných systémov v salónoch predlžovania vlasov a na posilnení kontrol nad používaním osobných údajov. Odborníci však poukazujú na to, že žiadny automatizovaný systém nie je neomylný a že poslednou obrannou líniou zostáva používateľ a jeho bezpečnostné návyky.
Ako sa chrániť po masívnom kybernetickom útoku na prehliadače Chrome a Edge
Vzhľadom na takýto dlhotrvajúci a sofistikovaný scenár experti na kybernetickú bezpečnosť odporúčajú sériu okamžitých opatrení na znížiť vplyv útoku a zabrániť ďalším infekciám, najmä medzi používateľmi prehliadačov Chrome a Edge v Španielsku a zvyšku Európy.
Prvým krokom je vykonať úplný audit rozšírení Tieto doplnky sú nainštalované vo všetkých prehliadačoch. Odporúča sa ich skontrolovať jeden po druhom a odinštalovať všetky doplnky, ktoré nie sú rozpoznané, nepoužívajú sa pravidelne alebo nepochádzajú od dôveryhodného vývojára. V prípade pochybností je najlepšie ich odstrániť a znova nainštalovať iba z oficiálneho zdroja poskytovateľa, ak je to absolútne nevyhnutné.
Je tiež dôležité skontrolovať, či je prehliadač aktualizovaná na najnovšiu dostupnú verziuSpoločnosti Google aj Microsoft začleňujú záplaty na blokovanie niektorých techník používaných DarkSpectre, takže najnovšie verzie obsahujú špecifické vylepšenia v detekcii podozrivého správania a v správe povolení rozšírení.
Pokiaľ ide o online účty, odporúča sa zmeniť heslá pre kritické služby (e-mail, online bankovníctvo, sociálne médiá, firemné nástroje), ak existuje akékoľvek podozrenie z použitia napadnutého rozšírenia. Odporúča sa využiť túto príležitosť na používanie jedinečných a silných hesiel pre každú službu, ideálne s pomocou správcu hesiel.
Okrem toho odborníci trvajú na aktivácii dvojfaktorové overenie (2FA) kedykoľvek je to možné. Tento mechanizmus pridáva ďalšiu vrstvu ochrany, takže aj keď útočník získa heslo, bude pre neho oveľa ťažšie získať prístup k účtu bez dočasného kódu alebo druhého overovacieho prvku.
Nakoniec, pre organizácie, ktoré sa vo veľkej miere spoliehajú na platformy ako Zoom, Teams alebo Google Meet, sa odporúča implementovať pravidelné kontroly nainštalovaných rozšírení v podnikových prehliadačoch, implementovať bezpečnostné politiky ktoré obmedzujú inštaláciu neoprávnených doplnkov a školia zamestnancov v odhaľovaní potenciálnych podvodov, a to ako v rozšíreniach, tak aj v e-mailoch alebo odkazoch, ktoré môžu sprevádzať podobné kampane.
Všetko, čo sa objavilo o DarkSpectre a jeho kampaniach ShadyPanda, GhostPoster a Zoom Stealer, odráža rozsah, v akom Rozšírenia prehliadača sa stali prioritným cieľom Kyberzločincom umožnila kombinácia dôvery v oficiálne obchody, užitočné funkcie a manipulované recenzie udržiavať tichý útok po celé roky s obrovským dopadom na jednotlivých používateľov a spoločnosti. To nás núti prehodnotiť, ako tieto doplnky inštalujeme a spravujeme v našom každodennom digitálnom živote.
