Немедленно удалите эти расширения из Chrome и Edge, если не хотите потерять доступы к банкам
NewsMakerПроверьте свой браузер на наличие «спящих» агентов DarkSpectre.
Хакерская группировка, действующая под именем DarkSpectre, на протяжении семи лет систематически заражала компьютеры пользователей браузеров Chrome, Edge и Firefox. По данным Koi Security, их жертвами стало свыше 8,8 миллионов уникальных устройств. Масштабная операция включала три отдельных кампании и отличалась высоким уровнем координации и ресурсного обеспечения.
Расследование показало, что за кампаниями ShadyPanda, Zoom Stealer и GhostPoster, несмотря на их различную направленность — от кражи пользовательских данных до корпоративного шпионажа — стоит одна и та же преступная организация. Всего было задействовано более сотни расширений, распространявшихся через официальные магазины браузеров. При этом злоумышленники умело совмещали легальные функции, вроде отображения погоды или создания новых вкладок, с вредоносной активностью, незаметной для большинства проверяющих систем.
Специалисты обратили внимание на инфраструктуру ShadyPanda и выявили, что два домена, используемые для реальных функций расширений — infinitynewtab.com и infinitytab.com — параллельно взаимодействовали с серверами управления вредоносной активностью. Эти домены стали ключом к объединению разрозненных на первый взгляд кампаний в единую цепочку.
Особую тревогу вызывает то, насколько долгое время злоумышленники сохраняли «спящие» расширения в браузерах без вредоносной нагрузки. В некоторых случаях вредоносный код активировался спустя неделю после установки. Более того, вредоносная активность запускалась лишь в части случаев — примерно на одном из десяти посещений сайтов, что существенно снижало вероятность обнаружения.
Хакерская группировка, действующая под именем DarkSpectre, на протяжении семи лет систематически заражала компьютеры пользователей браузеров Chrome, Edge и Firefox. По данным Koi Security, их жертвами стало свыше 8,8 миллионов уникальных устройств. Масштабная операция включала три отдельных кампании и отличалась высоким уровнем координации и ресурсного обеспечения.
Расследование показало, что за кампаниями ShadyPanda, Zoom Stealer и GhostPoster, несмотря на их различную направленность — от кражи пользовательских данных до корпоративного шпионажа — стоит одна и та же преступная организация. Всего было задействовано более сотни расширений, распространявшихся через официальные магазины браузеров. При этом злоумышленники умело совмещали легальные функции, вроде отображения погоды или создания новых вкладок, с вредоносной активностью, незаметной для большинства проверяющих систем.
Специалисты обратили внимание на инфраструктуру ShadyPanda и выявили, что два домена, используемые для реальных функций расширений — infinitynewtab.com и infinitytab.com — параллельно взаимодействовали с серверами управления вредоносной активностью. Эти домены стали ключом к объединению разрозненных на первый взгляд кампаний в единую цепочку.
Особую тревогу вызывает то, насколько долгое время злоумышленники сохраняли «спящие» расширения в браузерах без вредоносной нагрузки. В некоторых случаях вредоносный код активировался спустя неделю после установки. Более того, вредоносная активность запускалась лишь в части случаев — примерно на одном из десяти посещений сайтов, что существенно снижало вероятность обнаружения.