以上の場合 7年連続大規模なサイバー犯罪活動が、一見無害な拡張機能を通じて、Google ChromeやMicrosoft Edgeを含む主要なブラウザに侵入することに成功しました。攻撃の範囲は広範で、 少なくとも8,8万人のユーザー 世界中の人々が影響を受けた可能性があるが、その多くはヨーロッパとスペインの人たちである。
同社などのサイバーセキュリティ専門家が主導する調査 恋愛は、高度に組織化された犯罪ネットワークを発見しました。 ダークスペクター公式拡張機能ストアへの信頼を悪用してマルウェアを拡散した疑いがある。最も懸念されるのは、 被害に遭った人のほとんどは、何の疑いも持っていなかった。 銀行口座の詳細、認証情報、または企業情報がバックグラウンドで取得されているという。
ChromeとEdgeの拡張機能を悪用したサイレント攻撃
研究者が明らかにしたデータによると、DarkSpectreは、公開と維持のために複雑なインフラストラクチャを構築した。 約300個の悪意のある拡張機能 Chrome、Edge、Firefox、Operaの公式ストアで公開されています。これらの拡張機能の多くは、タブマネージャーや翻訳ツールから、 広告ブロッカー または生産性を向上させるツール。
秘訣は、最初に正当な機能を提供し、それによってダウンロード数と良い評判を獲得することだった。 人工的に生成された肯定的なレビューと評価拡張機能が相当数のユーザーに到達すると、攻撃者は 秘密のアップデート ユーザーが操作上の明らかな変更に気付かないうちに悪意のあるコードを組み込んだもの。
Chromiumベースのブラウザの場合、例えば Google ChromeとMicrosoft Edgeカスタマイズツールや広告ブロッカーを装ったトロイの木馬型拡張機能のネットワークが検出されました。攻撃の少なくとも1つのフェーズが特定されました。 特に人気の拡張機能30選 銀行の認証情報、ソーシャルメディアのパスワード、自動入力フォームのデータを盗み、そのすべての情報をサイバー犯罪者の管理下にあるサーバーにリアルタイムで送信する機能があります。
これらの拡張機能のいくつかには、データ窃盗に加えて、 広告の挿入と検索リダイレクトこれにより、煩わしい広告が表示され、ユーザーをフィッシング サイトにリダイレクトし、スペインやヨーロッパの他の国々で広く使用されている銀行のページや決済サービスのなりすましなど、詐欺の可能性が増大しました。
880万人以上の被害者と3つの主要な協調キャンペーン
攻撃の規模は、諜報機関やサイバーセキュリティ企業が取り扱っている数字に反映されており、 8,8万人のユーザー DarkSpectreに関連する様々なキャンペーンによって、世界中に被害が及んでいる。この目的を達成するために、同グループは 3つの異なる攻撃ラインShadyPanda、GhostPoster、Zoom Stealer として知られています。
キャンペーン シェイディパンダ 量的に最も積極的だった。 100個の悪意のある拡張機能主に電子商取引のトラフィックを操作することを目的としたこの攻撃は、 約5,6億XNUMX万人のユーザー隠し機能が有効化されると、これらの拡張機能はショッピングポータル上のリンクを変更したり、支払いを不正なページにリダイレクトしたり、追加コードを挿入してユーザーアクティビティの追跡を継続したりする可能性があります。
専門家は、これらの動きがオンラインストアや欧州連合で広く利用されている決済サービスに影響を及ぼし、 国境を越えた金融詐欺 トラフィック操作を適時に検出できなかったプラットフォームでは、潜在的な規制コンプライアンスの問題が発生する可能性があります。
第二次大攻勢は ゴーストポスター主なターゲットはブラウザだった FirefoxとOperaChromeやEdgeよりもセキュリティ管理がやや緩いブラウザでした。この場合、差別化要因は ステガノグラフィー攻撃者は、PNG 画像ファイル内に悪意のある JavaScript コードを隠し、疑いを持たれずにリモート命令を実行し、新しいマルウェア モジュールをダウンロードできるようにしました。
最も印象的な例の一つは、 Opera用Google翻訳一見すると正当なツールのように見えましたが、裏では IFRAME このマルウェアは、ブラウザの詐欺防止機能を無効にし、以前に他の DarkSpectre 活動にリンクされていたサーバーとの接続を確立して、被害者のシステムへの永続的なアクセス チャネルを作成しました。
Zoom Stealer:企業ビデオ通話におけるスパイ活動への飛躍
攻撃の第3段階は、 ズームスティーラーは、 ビジネス環境2025年末までに研究者は少なくとも 18個の特定の拡張機能 Zoom、Microsoft Teams、Google Meetなどのビデオ会議プラットフォームを標的とし、 2,2万人のユーザー.
これらの拡張機能は、テレワークやリモート会議に最適な補完機能として宣伝されており、 ビデオを要約し、興味のあるリンクを保存し、参加者リストを生成する または、各セッションの自動要約を生成します。近年、ハイブリッドワークやリモートワークを導入してきたスペインおよびヨーロッパの企業にとって、非常に魅力的なプロファイルです。
インストール後、ツールは 重要な情報を傍受する ビデオ通話から: アクセス リンク、会議 ID、ゲスト パスワード、場合によっては、セッション中に議論されたプレゼンテーションやドキュメントに関連する共有コンテンツまたはメタデータ。
このデータを使って、攻撃者は多くの高官レベルのプライベート会議にアクセスし、 専門的および商業的情報 非常に大きな戦略的価値を持つ。情報筋によると、事業計画、投資契約、市場戦略など、関係企業の競争力に極めて重要な事項に関する社内コミュニケーションが侵害されたという。
並行して、ズームスティーラーは拡張機能に与えられた広範な権限を利用して、 リアルタイムの認証情報の流出これには、企業のログイン認証情報、クラウド ツールへのアクセス キー、職業上のプロフィールが含まれており、これらは、欧州の組織の従業員に対する高度にカスタマイズされたフィッシング キャンペーンなどの標的型攻撃に再利用される可能性があります。
ヨーロッパとスペインのユーザーと企業への影響
ダークスペクター事件は、 ヘアエクステンションストアの信頼できるチェーン これは、市民や組織にとって脆弱性となる可能性があります。攻撃は世界規模で発生しましたが、スペインを含む複数の国の欧州当局とインシデント対応チームは、地域ユーザーへの影響を注視しています。
個々のユーザーにとって、その結果は 彼の秘密の監視 オンライン活動個人情報の盗難、オンラインショッピングでの不正請求、そして秘密のフォーラムに流出する可能性のある個人情報の漏洩など、様々な被害が考えられます。多くの拡張機能は正常に動作しているように見えるため、被害者の多くは自分が標的にされていることにすら気づかないでしょう。
企業においては、打撃はさらに深刻です。業務の大部分をクラウドツールやビデオ会議に依存している欧州企業は、 産業スパイのリスク戦略的契約の漏洩、顧客、サプライヤー、パートナーに関する機密情報の漏洩。さらに、企業は、例えば以下のような規制に基づき、セキュリティインシデントの報告を求められる場合があります。 一般データ保護規則(RGPD)評判の損失と制裁の可能性を想定。
予備的な報告によると、犯罪ネットワークは本物の 企業のデータウェアハウス これらの情報は、私的な会話、会議で共有された文書、イントラネットや社内サービスへの不正アクセスを通じて取得されます。これらの情報は、闇市場での販売、恐喝、不正競争に非常に役立ちます。
欧州当局は、ヘアエクステンション店の検出システムの改善と個人データの利用に関する管理強化のため、技術プロバイダーと連携している。しかし、専門家は次のように指摘している。 自動化システムは絶対に間違いがないわけではない そして、最後の防御線はユーザーとそのセキュリティ習慣のままです。
ChromeとEdgeへの大規模なサイバー攻撃から身を守る方法
このような長期かつ高度なシナリオに直面して、サイバーセキュリティの専門家は、 影響を軽減する 攻撃を阻止し、特にスペインおよびヨーロッパの他の地域の Chrome および Edge ユーザーの間でのさらなる感染を防ぎます。
最初のステップは、 拡張機能の完全な監査 これらのアドオンはすべてのブラウザにインストールされています。一つずつ確認し、認識されていないアドオン、頻繁に使用されていないアドオン、信頼できる開発者のものではないアドオンはアンインストールすることをお勧めします。疑わしい場合は、どうしても必要な場合にのみ、公式プロバイダーのソースから削除して再インストールすることをお勧めします。
ブラウザが 最新バージョンに更新されましたGoogle と Microsoft はどちらも、DarkSpectre が使用する手法の一部をブロックするためのパッチを組み込んでおり、最新バージョンには、疑わしい動作の検出と拡張機能の権限管理に関する具体的な改善が含まれています。
オンラインアカウントに関しては、 重要なサービスのパスワード (メール、オンラインバンキング、ソーシャルメディア、企業ツールなど)セキュリティ侵害を受けた拡張機能を使用した疑いがある場合は、各サービスでパスワードを再設定することをお勧めします。パスワードマネージャーを活用するのが理想的です。
さらに専門家は、 二要素認証 (2FA) 可能な限り、このメカニズムにより保護層が強化され、たとえ攻撃者がパスワードを入手したとしても、一時コードや2つ目の検証要素がなければアカウントにアクセスすることははるかに困難になります。
最後に、Zoom、Teams、Google Meetなどのプラットフォームに大きく依存している組織では、 設置された拡張機能の定期検査 企業のブラウザでは、 セキュリティポリシーを実装する 不正なアドオンのインストールを制限し、拡張機能や、同様のキャンペーンに付随する可能性のある電子メールやリンクの両方で潜在的な詐欺を検出できるように従業員をトレーニングします。
DarkSpectreとそのShadyPanda、GhostPoster、Zoom Stealerキャンペーンについて発見されたすべてのことは、 ブラウザ拡張機能が優先ターゲットになった サイバー犯罪者にとって、公式ストアへの信頼、便利な機能、そして操作されたレビューの組み合わせは、個人ユーザーや企業に甚大な影響を与えながら、長年にわたりサイレントアタックを継続することを可能にしてきました。これは、私たちが日々のデジタルライフにおいて、これらのアドオンのインストールと管理方法を再考することを迫っていることを示しています。
