Za više od sedam godina, jedan mreža zlonamjernih ekstenzija Uspio se proširiti u preglednicima poput Chromea i Edgeautičući na druge preglednike poput Firefoxa i Opere bez izazivanja sumnje kod miliona korisnika. Ono što se činilo kao relativno siguran ekosistem u službenim trgovinama dodataka sada se pokazalo kao jedan od najdugotrajnijih i najrasprostranjenijih sigurnosnih incidenata u posljednje vrijeme.
Istraživanje, koje je nedavno objavila firma za sajber sigurnost Koi.ai, detaljno opisuje kako je organizovana grupa, nazvana kao DarkSpectreUspio je uvesti i održavati aktivnu mrežu od oko 300 lažnih produžetakaOvi alati, koje su instalirali neki 8,8 miliona korisnika širom svijetaBili su aktivni od 2018. do kraja 2025. godine, kradući podatke, špijunirajući online aktivnosti i iskorištavajući povjerenje službenih trgovina.
Tihi napad na Chrome, Edge i druge preglednike
Suština napada se oslanjala na ekstenzije predstavljene kao naizgled korisni alatiBlokatori oglasa, uslužni programi za produktivnost, prevodioci ili dodaci za preglednik. Mnogi od njih bili su dostupni u službenim katalozima Google Chrome, Microsoft Edge, Mozilla Firefox i OperaTo je korisnicima davalo osjećaj sigurnosti koji se, s vremenom, pokazao neosnovanim.
Prema javno dostupnim podacima, DarkSpectre usavršava svoje metode od 2018. godine, tako da Zlonamjerne ekstenzije su uspjele proći kroz automatizirane filtere i redovne preglede.Ključno je bilo to što je veliki dio opasnog koda aktiviran tek nakon što bi se dostigao značajan broj instalacija ili putem kasnija ažuriranja koji je modificirao prvobitno ponašanje komplementa.
U praksi, to je značilo da ekstenzija može stići u trgovine kao legitimni alat, akumulirati preuzimanja i ocjene, a tek kasnije, putem tihog ažuriranja, uključiti zlonamjernu komponentu. Napad je tako uspio iskoristiti jednu od slabosti u modelu povjerenja službenih repozitorija.gdje se ažuriranja često smatraju rutinskim poboljšanjima.
Koi.ai naglašava da Većina žrtava koristila je preglednike bazirane na Chromiumu, posebno Chrome i Edge.zbog ogromnog tržišnog udjela u Evropi i ostatku svijeta. Međutim, kampanja je dosegla i korisnike Firefoxa i Opere, pokazujući da meta nije bio jedan preglednik, već cijeli ekosistem ekstenzija.
Metode obmane: lažne recenzije i prikrivena ažuriranja
Da bi povećao obim napada, DarkSpectre je pribjegao tehnike umjetne reputacijeMnogi pogođeni ekstenzije pojavili su se u trgovinama sa visoke ocjene i pozitivne recenzije generirane automatski ili na koordiniran načinOvo ih je smjestilo među istaknute preporuke i povećalo njihovu vidljivost novim korisnicima.
Osim toga, grupa je implementirala sistem tajna ažuriranja što je postepeno mijenjalo funkcionalnost dodatka. Tokom prvih nekoliko mjeseci života ekstenzije, njeno ponašanje je moglo biti gotovo besprijekorno, ograničeno na obećanu funkciju. Nakon što je postignuta solidna baza instalacija, dodavani su skriveni moduli, usmjereni ka krađa podataka, manipulisanje web saobraćajem ili umetanje invazivnog oglašavanja bez pristanka korisnika.
U nekim dokumentiranim slučajevima, ova proširenja su funkcionirala kao prava „Trojanski konji“ u preglednikuNajmanje trideset popularnih dodataka - uključujući lažne blokatore oglasa i alate za prilagođavanje - sadržavalo je kod dizajniran za prikupljanje bankovnih podataka, lozinki za društvene mreže i podataka za automatsko popunjavanjeSve ove informacije su u realnom vremenu poslane na servere koje su kontrolisali napadači.
Uz direktnu krađu podataka, komponenta usmjerena na ubrizgavanje oglasa i preusmjeravanje na phishing straniceDrugim riječima, korisnik je mogao vidjeti kako su njegove pretrage preusmjerene na lažne web stranice ili kako su se pojavljivali oglasi sumnjivog porijekla, generirajući prihod za kriminalnu mrežu i otvarajući vrata dodatnim prevarama.
Ovaj hibridni model - mješavina ekonomske prevare, krađe informacija i manipulacije prometom - omogućio je da napad bude profitabilan, a da ga većina sistema za detekciju, a prije svega, ne otkriju same žrtve.
Tri glavne kampanje: ShadyPanda, GhostPoster i Zoom Stealer
Operacija koju je orkestrirao DarkSpectre bila je podijeljena u tri glavne linije djelovanja, svaka s različitim ciljevima i metodama, ali sa zajedničkim nazivnikom: iskoristite povjerenje korisnika u prodavnice ekstenzija i iskoristite sve prednosti dozvola koje su date pregledniku.
Prva velika faza, poznata kao ShadyPanda, fokusiran na ekstenzije koje su se pretvarale da su bezopasni uslužni programiViše od stotinu ovih dodataka je na kraju zarazilo neke 5,6 miliona korisnikaposebno u preglednicima baziranim na Chromiumu. Iako su bili neupadljivi, isporučivali su obećane funkcije, ali kada je dostignuta kritična masa instalacija, aktivirane su skrivene mogućnosti za:
- Vršenje prevare prilikom online kupovine, mijenjanje ili presretanje obrazaca i platnih sistema.
- Krađa osjetljivih podatakaod podataka za prijavu do podataka o kartici i adresa za dostavu.
- Manipulisanje legitimnim linkovima na velikim e-trgovinskim portalimapreusmjeravanje korisnika na klonirane stranice ili mijenjanje konačnog odredišta određenih transakcija.
Druga kampanja, nazvana GhostPoster, pogođeno više od 1 milion korisnika, s posebnim naglaskom na Firefox i OperaNjegova najupečatljivija karakteristika bila je upotreba steganografijatehnika koja omogućava sakrivanje zlonamjernog koda unutar naizgled normalnih slikaNa ovaj način, ekstenzije bi mogle preuzeti i izvršavati udaljene instrukcije ili nove module zlonamjernog softvera bez izazivanja sumnje u tradicionalnim sistemima za analizu.
U okviru GhostPoster-a otkriven je posebno zabrinjavajući slučaj: manipulisana verzija popularnog proširenja „Google prevodilac“ za OperuOva varijanta je uključivala iframe nevidljivi koji je instalirao zadnja vrataOnemogućavao je mehanizme preglednika za borbu protiv prevare i slao informacije serverima povezanim s DarkSpectreom. U međuvremenu, korisnik je nastavio vidjeti prevodioca kako funkcioniše kao da je normalan.
Treća i posljednja velika ofanziva postala je poznata kao Kradljivac Zooma i bio je raspoređen krajem 2025Ova kampanja je koristila 18 ekstenzija posebno za platforme poput Zooma, Microsoft Teamsa i Google Meeta, čak i kompromitujući neke 2,2 miliona korisnika, uključujući zaposlenike kompanija i javnih uprava.
Zoom Stealer je bio usmjeren na korporativna špijunaža i prikupljanje poslovnih obavještajnih podatakaEkstenzije su dobile pristup povjerljivim sastancima, prikupljale linkove za pozivnice, pristupne podatke, pa čak i podatke povezane s korporativnim kalendarima. S ovim informacijama, napadači su mogli izgraditi baze podataka koje sadrže profesionalne podatke, dijeljene dokumente i strateške detalje visoke ekonomske vrijednosti.
Uticaj na evropske korisnike i kompanije
Kumulativni efekat ovih kampanja bio je izuzetan. Milioni korisnika su bili podvrgnuti stalni nadzor, krađa ličnih podataka i izloženost finansijskim prevaramaU mnogim slučajevima, korisnici nisu bili svjesni porijekla problema. Sumnjive naplate, suptilne promjene u rezultatima pretrage ili čudna preusmjeravanja mogla su se pripisati izoliranim greškama, dok su u stvarnosti uzrokovane aktivnošću ovih ekstenzija.
U korporativnom sektoru, posebno u Španiji i ostatku Evrope, posljedice su bile još ozbiljnijeKombinacija ShadyPanda i Zoom Stealer-a otvorila je vrata i otvorenoj prevari i korporativnoj špijunaži: pristup strateškim sastancima, curenje dokumenata sa dijeljenih ekrana, snimanje internih razgovora i prikupljanje informacija o projektima, klijentima i dobavljačima.
Kompanije sa sjedištem u Evropskoj uniji, koje podliježu propisima kao što su Opšta uredba o zaštiti podataka (RGPD)Sada se suočavaju s izazovom procijeniti stvarni obim curenja informacijaNe radi se samo o ličnim podacima zaposlenih i kupaca, već i o poslovnim tajnama, planovima razvoja proizvoda i povjerljivim ugovorima koji su možda bili izloženi godinama.
Sama priroda proširenja otežava mjerenje utjecaja: Mnogi su instalirani na opremi za rad na daljinu, ličnim laptopima i mobilnim uređajima. koristi se za povezivanje s korporativnim mrežama. Ovo briše granice između kućne i profesionalne upotrebe, komplikujući i forenzičke istrage i organizacijske odgovore.
U međuvremenu, napad je ponovo pokrenuo debatu u Evropi o odgovornost glavnih dobavljača preglednika i trgovina aplikacija kada je u pitanju filtriranje i praćenje sadržaja. Iako procesi pregleda postoje, slučaj DarkSpectre pokazuje da trenutni sistemi nisu bili dovoljni da zaustave tako dobro planiranu, dugoročnu operaciju.
Kako je to ostalo skriveno toliko godina?
Jedan od najupečatljivijih aspekata ovog sajber napada je njegov neuobičajeno dugo trajanjeOvo nije izolovani incident, već operacija koja se razvijala više od sedam godina, prilagođavajući se promjenama u preglednicima, pravilima trgovina i alatima za sigurnosnu analizu.
DarkSpectre je koristio modularnu strukturu, sa distribuirane infrastrukture za komandovanje i kontrolu i domene koje su rotirane kako bi ih bilo teže pratiti. U mnogim slučajevima, zlonamjerni kod se aktivirao samo pod određenim uvjetima - na primjer, prilikom posjete određenim web stranicama za e-trgovinu, prijave na bankarske usluge ili pridruživanja video pozivu - čime se smanjuje buka koja bi mogla privući pažnju sigurnosnih alata.
Još jedan ključni element bila je upotreba tehnike obfuskacije i odloženo učitavanje komponentiUmjesto da se sav zlonamjerni softver uključi u sam paket ekstenzije, dio zlonamjerne logike je kasnije preuzet sa udaljenih servera ili skriven u naizgled bezopasnim resursima, kao što su slike. To je učinilo statička skeniranja - ona koja su izvršena na datoteci prije instalacije - manje efikasnim.
Nadalje, operacija je imala koristi od fragmentacija sigurnosnog ekosistemaDok su neke ekstenzije mogle biti otkrivene ili prijavljene u određenom pregledniku ili regiji, druge varijante su ostale aktivne u različitim trgovinama ili pod neznatno izmijenjenim imenima. Ova sposobnost ponovnog izmišljanja uz manje promjene pomogla je da se kampanja održi u životu uprkos povremenim gubicima.
Istraživači također ukazuju na nedostatak široko rasprostranjena svijest o stvarnom riziku od produženjaMnogi korisnici daju široka ovlaštenja bez provjere kakav pristup daju: čitanje i mijenjanje svih podataka na posjećenim stranicama, pristup karticama, historija pregledavanja ili integracija s drugim servisima. U rukama grupa poput DarkSpectre-a, ova ovlaštenja postaju idealan ulaz za masovno izvlačenje informacija.
Preporuke za korisnike Chromea i Edgea
Nakon objavljivanja istraživanja, stručnjaci za kibernetičku sigurnost naglasili su potrebu za Korisnici i organizacije trebaju pažljivo pregledati ekstenzije instalirane u svojim preglednicima., posebno u Chromeu i Edgeu, gdje je koncentriran značajan dio napada.
Kao prvi korak, preporučljivo je izvršiti ručna revizija svih dodataka prisutnih u pregledniku. Preporučljivo je ukloniti sve ekstenzije koje nisu prepoznate, ne koriste se redovno ili čije porijeklo nije jasno prepoznatljivo. U korporativnim okruženjima preporučuje se uspostavljanje bijela lista dozvoljenih ekstenzija i blokirati instalaciju novih alata bez nadzora IT odjela.
Također je bitno osigurati da je preglednik ažurirano na najnoviju verzijuGlavni dobavljači uključuju specifične zakrpe i poboljšanja blokirati lance napada poput onog koji koristi DarkSpectre, tako da nastavak korištenja zastarjelih verzija nepotrebno povećava rizik.
Ako ste posljednjih godina instalirali bilo kakve sumnjive ekstenzije, preporučljivo je da nastavite s preventivna promjena lozinkePočevši od e-mail računa, banaka, društvenih medija i ključnih usluga. Kad god je to moguće, preporučuje se aktiviranje dvofaktorska autentifikacija (2FA)što dodaje dodatni sloj zaštite čak i ako su akreditivi kompromitovani.
Konačno, i kod kuće i na poslu, važno je ojačati politike obuke i podizanja svijesti o digitalnoj sigurnosti. Razumijevanje toga Nisu sva proširenja s dobrim ocjenama pouzdana.Pažljiv pregled traženih dozvola i ograničavanje instalacije nepotrebnih alata koliko god je to moguće može napraviti razliku između održavanja kontrole nad podacima i njihovog izlaganja operacijama poput onih koje izvodi DarkSpectre.
Sve što je otkriveno o ovom produženom sajber napadu jasno pokazuje da, iako službene trgovine Chromea, Edgea i drugih preglednika ostaju najrazumniji kanal za instaliranje ekstenzija, Poverenje ne može biti slijepo ili automatsko.Kombinacija kampanja poput ShadyPanda, GhostPoster i Zoom Stealer pokazuje u kojoj mjeri se naizgled nevin dodatak može transformirati u vektor za špijunažu, prevaru i masovno curenje informacija, što utiče i na pojedinačne korisnike i na kompanije i institucije širom Evrope.