De dreigingsactor achter twee kwaadaardige browserextensiecampagnes, ShadyPanda en GhostPoster, wordt toegeschreven aan een derde aanvalscampagne met de codenaam DarkSpectre, die gevolgen heeft gehad voor 2,2 miljoen gebruikers van Google Chrome, Microsoft Edge en Mozilla Firefox.
Er wordt aangenomen dat de activiteit het werk is van een Chinese bedreigingsacteur die Koi Security onder de naam volgt DonkerSpectre. In totaal hebben de campagnes in een periode van ruim zeven jaar gezamenlijk ruim 8,8 miljoen gebruikers bereikt.
ShadyPanda werd eerder deze maand voor het eerst ontmaskerd door het cyberbeveiligingsbedrijf omdat het zich op alle drie de browsergebruikers richtte om gegevensdiefstal, het kapen van zoekopdrachten en affiliate-fraude te vergemakkelijken. Er is vastgesteld dat het 5,6 miljoen gebruikers treft, waaronder 1,3 nieuw geïdentificeerde slachtoffers die afkomstig zijn van meer dan 100 extensies die zijn gemarkeerd als verbonden met hetzelfde cluster.
Dit omvat ook een Edge-add-on met de naam “Nieuw tabblad – Aangepast dashboard” met een logische bom die drie dagen wacht voordat het kwaadaardige gedrag wordt geactiveerd. De vertraagde activering is een poging om tijdens de beoordelingsperiode de indruk te wekken dat deze legitiem is en goedgekeurd te worden.
Negen van deze extensies zijn momenteel actief, met nog eens 85 ‘slapende slapers’ die goedaardig zijn en bedoeld zijn om een gebruikersbasis aan te trekken voordat ze worden bewapend via kwaadaardige updates. Koi zei dat de updates in sommige gevallen na meer dan vijf jaar werden geïntroduceerd.
De tweede campagne, GhostPoster, is vooral gericht op Firefox-gebruikers en richt zich op hen met ogenschijnlijk onschuldige hulpprogramma’s en VPN-tools om kwaadaardige JavaScript-code door te geven die is ontworpen om affiliate-links te kapen, trackingcode te injecteren en klik- en advertentiefraude te plegen. Verder onderzoek naar de activiteit heeft meer browser-add-ons aan het licht gebracht, waaronder een Google Translate-extensie (ontwikkelaar “charliesmithbons”) voor Opera met bijna een miljoen installaties.
De derde campagne van DarkSpectre is The Zoom Stealer, die bestaat uit een reeks van 18 extensies voor Chrome, Edge en Firefox die zijn gericht op bedrijfsvergaderingsinformatie door online vergaderingsgerelateerde gegevens te verzamelen, zoals vergaderings-URL’s met ingebouwde wachtwoorden, vergaderings-ID’s, onderwerpen, beschrijvingen, geplande tijden en registratiestatus.
De lijst met geïdentificeerde extensies en hun bijbehorende ID’s vindt u hieronder:
Google Chroom –
- Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep)
- X (Twitter) Video-downloader (akmdionenlnfcipmdhbhcnkighafmdha)
- Automatische toelating van Google Meet (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us Toon altijd “Deelnemen vanaf internet” (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Timer voor Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Chrome-videorecorder (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar en GoToMeeting Opnames downloaden (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Ontmoet automatisch toegeven (ceofheakaalaecnecdkdanhejojkpeai)
- Google Meet-aanpassing (emoji’s, tekst, cam-effecten) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Demp alles tijdens Meet (adjoknoacleghaejlggocbakidkoifle)
- Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj)
- Fotodownloader voor Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Zoomcoder-extensie (ebhomdageggjbmomenipfbhcjamfkmbl)
- Automatisch deelnemen aan Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Rand –
- Edge-audio-opname (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox –
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, uitgegeven door “invaliddejavu”)
- x-video-downloader ([email protected], uitgegeven door “invaliddejavu”)
Zoals duidelijk blijkt uit de namen van de extensies, is het merendeel ervan ontworpen om tools na te bootsen voor bedrijfsgerichte videoconferentietoepassingen zoals Google Meet, Zoom en GoTo Webinar om vergaderlinks, inloggegevens en deelnemerslijsten in realtime via een WebSocket-verbinding te exfiltreren.
Het is ook in staat om details over webinarsprekers en hosts te verzamelen, zoals namen, titels, biografieën, profielfoto’s en bedrijfsrelaties, samen met logo’s, promotionele afbeeldingen en sessiemetadata, elke keer dat een gebruiker een webinarregistratiepagina bezoekt via de browser met een van de geïnstalleerde extensies.
Het is gebleken dat deze add-ons toegang vragen tot meer dan 28 platforms voor videoconferenties, waaronder onder meer Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams en Zoom, ongeacht of ze überhaupt toegang daartoe nodig hadden.
“Dit is geen consumentenfraude – dit is bedrijfsspionage-infrastructuur”, aldus onderzoekers Tuval Admoni en Gal Hachamov. “De Zoom Stealer vertegenwoordigt iets doelgerichters: het systematisch verzamelen van informatie over zakelijke bijeenkomsten. Gebruikers kregen wat er werd geadverteerd. De extensies zorgden voor vertrouwen en positieve recensies. Ondertussen liep de surveillance stil op de achtergrond.”
Het cyberbeveiligingsbedrijf zei dat de verzamelde informatie kan worden gebruikt om bedrijfsspionage aan te wakkeren door de gegevens aan andere slechte actoren te verkopen, en social engineering en grootschalige nabootsingsoperaties mogelijk te maken.
De Chinese links naar de operatie zijn gebaseerd op verschillende aanwijzingen: consistent gebruik van command-and-control (C2)-servers gehost op Alibaba Cloud, Internet Content Provider (ICP)-registraties gekoppeld aan Chinese provincies zoals Hubei, codeartefacten met Chineestalige tekenreeksen en opmerkingen, en fraudeplannen die specifiek gericht zijn op Chinese e-commerceplatforms zoals JD.com en Taobao.
“DarkSpectre heeft momenteel waarschijnlijk meer infrastructuur – extensies die er voorlopig volledig legitiem uitzien omdat ze legitiem zijn”, zei Koi. “Ze bevinden zich nog in de fase van het opbouwen van vertrouwen, verzamelen gebruikers, verdienen badges en wachten.”
