For mer enn sju år på radEn storstilt nettkriminalitetsoperasjon har klart å infiltrere de viktigste nettleserne på markedet, inkludert Google Chrome og Microsoft Edge, gjennom tilsynelatende harmløse utvidelser. Omfanget av angrepet er så stort at det anslås at minst 8,8 millioner brukere Folk over hele verden kan ha blitt rammet, mange av dem i Europa og Spania.
Etterforskningen, ledet av cybersikkerhetsspesialister som firmaet Koi.aihar avdekket et svært organisert kriminelt nettverk, kalt DarkSpectresom angivelig utnyttet tilliten til offisielle utvidelsesbutikker til å distribuere skadelig programvare. Det mest bekymringsfulle aspektet er at De fleste av de berørte hadde ingen mistanke. at bankopplysningene, legitimasjonen eller bedriftsinformasjonen deres ble registrert i bakgrunnen.
Et stille angrep som utnyttet Chrome- og Edge-utvidelser
Ifølge data avslørt av forskere, bygde DarkSpectre en kompleks infrastruktur for å publisere og vedlikeholde nesten 300 ondsinnede utvidelser i de offisielle Chrome-, Edge-, Firefox- og Opera-butikkene. Mange av disse utvidelsene ble presentert som hverdagslige verktøy: fra fanebehandlere og oversettere til annonseblokkere eller verktøy for å forbedre produktiviteten.
Trikset var å tilby legitime funksjoner i utgangspunktet, og dermed få nedlastinger og et godt omdømme basert på kunstig genererte positive anmeldelser og vurderingerDa utvidelsene nådde et betydelig antall brukere, presset angriperne skjulte oppdateringer som innlemmet den ondsinnede koden uten at brukeren la merke til noen åpenbare endringer i driften.
Når det gjelder Chromium-baserte nettlesere, som f.eks. Google Chrome og Microsoft EdgeEt nettverk av trojansk hest-lignende utvidelser kamuflert som tilpasningsverktøy eller annonseblokkering ble oppdaget. Minst én fase av angrepet identifisert. 30 spesielt populære utvidelser i stand til å stjele bankopplysninger, passord for sosiale medier og data fra automatisk utfylling av skjemaer, og sende all denne informasjonen i sanntid til servere under kontroll av nettkriminelle.
I tillegg til datatyveri inkluderte flere av disse utvidelsene funksjoner for annonseinnsprøytning og søkeomdirigeringDette tillot visning av påtrengende annonser, som omdirigerte brukere til phishing-nettsteder og mangedoblet mulighetene for svindel, inkludert etterligning av banksider eller betalingstjenester som er mye brukt i Spania og resten av Europa.
Mer enn 8,8 millioner ofre og tre store koordinerte kampanjer
Omfanget av angrepet gjenspeiles i tallene som håndteres av etterretningstjenester og cybersikkerhetsselskaper: det er anslått at 8,8 million brukere De har blitt påvirket verden over av de ulike kampanjene knyttet til DarkSpectre. For å oppnå dette skal gruppen angivelig ha opprettholdt tre distinkte angrepslinjer, kjent som ShadyPanda, GhostPoster og Zoom Stealer.
kampanje ShadyPanda Den var den mest aggressive når det gjaldt volum. Gjennom mer enn 100 ondsinnede utvidelser, primært rettet mot å manipulere e-handelstrafikk, ville ha kompromittert dataene til cirka 5,6 millioner brukereNår de skjulte funksjonene var aktivert, kunne disse utvidelsene endre lenker på shoppingportaler, omdirigere betalinger til falske sider eller injisere tilleggskode for å fortsette å spore brukeraktivitet.
Eksperter påpeker at disse manøvrene påvirket nettbutikker og mye brukte betalingstjenester i EU, og åpnet døren for grenseoverskridende økonomisk svindel og potensielle problemer med samsvar med regelverk for plattformer som ikke oppdaget trafikkmanipulasjon i tide.
Den andre store offensiven, kalt SpøkelsesplakatHovedmålet var nettlesere Firefox og Operasom hadde noe mindre strenge sikkerhetskontroller enn Chrome og Edge. I dette tilfellet var den differensierende faktoren bruken av steganografiAngriperne gjemte ondsinnet JavaScript-kode i PNG-bildefiler, slik at de kunne utføre eksterne instruksjoner og laste ned nye skadevaremoduler uten å vekke mistanke.
Et av de mest slående eksemplene var kloningen av en utvidelse av Google Oversetter for Operasom ved første øyekast så ut til å være et legitimt verktøy. Bak kulissene installerte den imidlertid en bakdør ved hjelp av en iframe Skjult deaktiverte den nettleserens beskyttelse mot svindel og etablerte en forbindelse med servere som tidligere var koblet til andre DarkSpectre-operasjoner, og skapte dermed en permanent tilgangskanal til offerets system.
Zoom Stealer: Spranget inn i spionasje i bedriftsvideosamtaler
Den tredje fasen av angrepet, identifisert som Zoom-stjeler, tok et kvalitativt sprang ved å fokusere utelukkende på ForretningsmiljøInnen utgangen av 2025 oppdaget forskere minst 18 spesifikke utvidelser rettet mot videokonferanseplattformer som Zoom, Microsoft Teams og Google Meet, med en estimert innvirkning på 2,2 million brukere.
Disse utvidelsene ble markedsført som ideelle supplementer til fjernarbeid og eksterne møter: de lovet oppsummer videoer, lagre interessante lenker, generer deltakerlister eller generer et automatisk sammendrag av hver økt. En svært attraktiv profil for spanske og europeiske selskaper som har konsolidert hybrid- og fjernarbeid de siste årene.
Etter installasjonen begynte verktøyene å avlytte kritisk informasjon fra videosamtaler: tilgangslenker, møte-ID-er, gjestepassord og, i noen tilfeller, delt innhold eller metadata knyttet til presentasjoner og dokumenter som ble diskutert under øktene.
Med disse dataene kunne angriperne få tilgang til private møter, mange av dem på høyt nivå, og opprette databaser over profesjonell og kommersiell intelligens med enorm strategisk verdi. Ifølge kildene som ble konsultert, ble internkommunikasjon angående forretningsplaner, investeringsavtaler, markedsstrategier og andre saker som er svært følsomme for konkurranseevnen til de involverte selskapene kompromittert.
Parallelt utnyttet Zoom Stealer de brede tillatelsene som ble gitt til utvidelser for å utføre sanntids legitimasjonsuttrekkDette inkluderte bedriftens påloggingsinformasjon, tilgangsnøkler til skyverktøy og profesjonelle profiler som deretter kunne gjenbrukes i målrettede angrep, for eksempel svært tilpassede phishing-kampanjer mot ansatte i europeiske organisasjoner.
Innvirkning på brukere og selskaper i Europa og Spania
DarkSpectre-saken har fremhevet i hvilken grad den pålitelige kjeden i hårforlengelsesbutikker Dette kan bli en sårbarhet for innbyggere og organisasjoner. Selv om angrepet hadde global rekkevidde, overvåker europeiske myndigheter og hendelsesteam i flere land, inkludert Spania, nøye virkningen på lokale brukere.
For individuelle brukere blir konsekvensene hemmelig overvåking av hans nettaktivitetMulig identitetstyveri, uautoriserte belastninger på nettkjøp og lekkasjer av personopplysninger som kan ende opp på hemmelige fora. Mange ofre vil ikke engang innse at de har blitt målrettet, ettersom de fleste utvidelsene tilsynelatende fungerte normalt.
I næringslivet er slaget enda mer alvorlig. Europeiske selskaper som baserer en stor del av driften sin på skybaserte verktøy og videokonferanser står overfor risikoen for industrispionasjeLekkasjer av strategiske avtaler og eksponering av konfidensiell informasjon om kunder, leverandører og partnere. Videre kan selskaper være pålagt å rapportere sikkerhetshendelser i henhold til forskrifter som Generell databeskyttelsesforordning (RGPD)antar omdømmekostnader og mulige sanksjoner.
Foreløpige rapporter tyder på at det kriminelle nettverket kan ha bygget autentiske bedriftsdatalagre Denne informasjonen innhentes gjennom private samtaler, dokumenter som deles i møter og uautorisert tilgang til intranett eller interne tjenester. Den er ekstremt verdifull for salg på svartebørser, samt for utpressingskampanjer eller urettferdig konkurranse.
Europeiske myndigheter samarbeider med teknologileverandører for å forbedre deteksjonssystemene i hårextensions-studioer og for å styrke kontrollen over bruken av personopplysninger. Eksperter påpeker imidlertid at intet automatisert system er ufeilbarlig og at den siste forsvarslinjen forblir brukeren og deres sikkerhetsvaner.
Slik beskytter du deg selv etter det massive cyberangrepet på Chrome og Edge
Stilt overfor et så langvarig og sofistikert scenario anbefaler cybersikkerhetseksperter en rekke umiddelbare tiltak for å redusere virkningen av angrepet og forhindre ytterligere infeksjoner, spesielt blant Chrome- og Edge-brukere i Spania og resten av Europa.
Det første steget er å lage en full revisjon av utvidelser Disse tilleggene er installert på alle nettlesere. Det anbefales å gjennomgå dem én etter én og avinstallere eventuelle tillegg som ikke gjenkjennes, ikke brukes regelmessig eller ikke kommer fra en pålitelig utvikler. Hvis du er i tvil, er det best å fjerne og installere på nytt kun fra den offisielle leverandørens kilde hvis det er absolutt nødvendig.
Det er også viktig å sjekke at nettleseren er oppdatert til den siste tilgjengelige versjonenBåde Google og Microsoft har innført oppdateringer for å blokkere noen av teknikkene som brukes av DarkSpectre, så de nyeste versjonene inkluderer spesifikke forbedringer i deteksjon av mistenkelig atferd og i administrasjon av utvidelsestillatelser.
Når det gjelder nettkontoer, anbefales det å endre passord for kritiske tjenester (e-post, nettbank, sosiale medier, bedriftsverktøy) hvis det er mistanke om at en kompromittert utvidelse er brukt. Det anbefales å benytte anledningen til å bruke unike og sterke passord for hver tjeneste, ideelt sett ved hjelp av en passordbehandler.
Videre insisterer spesialister på å aktivere tofaktorautentisering (2FA) når det er mulig. Denne mekanismen legger til et ekstra lag med beskyttelse, slik at selv om en angriper får tak i et passord, vil det være mye vanskeligere for dem å få tilgang til kontoen uten den midlertidige koden eller det andre bekreftelseselementet.
Til slutt, for organisasjoner som er sterkt avhengige av plattformer som Zoom, Teams eller Google Meet, anbefales det å implementere periodiske inspeksjoner av installerte utvidelser i bedriftsnettlesere, implementere sikkerhetspolicyer som begrenser installasjonen av uautoriserte tilleggsprogrammer og trener ansatte til å oppdage potensielle svindelforsøk, både i utvidelser og i e-poster eller lenker som kan følge med lignende kampanjer.
Alt som er oppdaget om DarkSpectre og kampanjene ShadyPanda, GhostPoster og Zoom Stealer gjenspeiler i hvilken grad Nettleserutvidelser har blitt et prioritert mål For nettkriminelle har kombinasjonen av tillit til offisielle butikker, nyttige funksjoner og manipulerte anmeldelser latt dem opprettholde et stille angrep i årevis med stor innvirkning på individuelle brukere og bedrifter. Dette tvinger oss til å tenke nytt om hvordan vi installerer og administrerer disse tilleggene i våre digitale hverdagsliv.
