Un masivo ciberataque ha puesto en jaque a millones de usuarios de navegadores web en todo el mundo. Identificado como Darkspectre es el actor detrás de tres campañas maliciosas para extensiones de navegador que afecta a más de 8,8 millones de personas con técnicas y objetivos diferenciados que incluían el robo de datos y el fraude.
Darkspectre es el nombre con el que la firma de seguridad KOI identifica a un actor de amenazas de origen chino que, en los últimos años, ha llevado a cabo algunas de las campañas maliciosas más grandes y sofisticadas, distribuidas a través de extensiones para navegadores web.
En concreto, esta empresa cita tres campañas, que han afectado a más 8,8 millones de personas en una operación que ha durado siete años: ShadyPanda, GhostPoster y The Zoom Stealer, en las que empleaban extensiones de navegador para vigilar y robar información corporativa, como explicó en su blog oficial.
La investigación de ShadyPanda les permitió descubrir cien extensiones conectadas con dos dominios: infinitynewtab.com y infinitytab.com, que resultaron ser sitios web legítimos que ofrecían las funcionalidades de las extensiones, también de manera legítima.
Estas extensiones se mantenían entre tres y cinco años, e incluso contaban con insignias de verificación de las tiendas oficiales de Chrome, Edge y Firefox, y ofrecían la función que promocionaban. Pero de manera silenciosa realizaban tareas de vigilancia y fraude de afiliados.
Asimismo, descubrieron que una de las extensiones de ShadyPanda compartía la infraestructura C2 con GhostPoster, una campaña maliciosa que ya había comprometido a millones de usuarios de Firefox con archivos PNG en los que se ocultaba una carga útil. También lo hacía otra extensión para Opera de traducción.
Una tercera extensión presentaba un comportamiento diferente. Se comunicaba con la infraestructura principal de ShadyPanda, y además de robar datos y vigilar a las víctimas, podía obtener información de plataformas de videoconferencia. A partir de ella se identificaron otras 17 extensiones que formaban parte de una campaña denominada The Zoom Stealer.
Las tres campañas tienen el mismo actor de amenazas en común, que en lugar de repetir la fórmula que funciona, optó por realizar campañas maliciosas paralelas en los principales navegadores, cada una de ellas con su técnica y objetivo. En total, KOI identificó más de 300 extensiones vinculadas a Darkspectre.
*Con información de Europa Press.