7 anni di inganni e 9 milioni di dispositivi infettati. Il più grande attacco ai browser mai visto

Un gruppo di hacker che opera sotto il nome di DarkSpectre ha infettato sistematicamente i computer degli utenti dei browser Chrome, Edge e Firefox nel corso di sette anni. Secondo Koi Security , hanno preso di mira oltre 8,8 milioni di dispositivi unici. L’operazione su larga scala ha incluso tre campagne distinte ed è stata caratterizzata da un elevato livello di coordinamento e intraprendenza.

L’indagine ha rivelato che le campagne ShadyPanda, Zoom Stealer e GhostPoster, nonostante i loro diversi scopi (che spaziano dal furto di dati degli utenti allo spionaggio aziendale), sono state tutte condotte dalla stessa organizzazione criminale. In totale, hanno utilizzato oltre un centinaio di estensioni distribuite tramite gli store ufficiali dei browser. Gli aggressori hanno abilmente combinato funzioni legittime (come la visualizzazione del meteo o la creazione di nuove schede) con attività dannose che hanno eluso la maggior parte dei sistemi di sicurezza.

Gli esperti hanno esaminato l’infrastruttura di ShadyPanda e hanno scoperto che due domini utilizzati dalle estensioni, infinitynewtab.com e infinitytab.com, comunicavano simultaneamente con i server di comando e controllo dannosi. Questi domini sono diventati la chiave per unire campagne apparentemente distinte in un’unica catena.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Particolarmente allarmante è il periodo di tempo in cui gli aggressori sono riusciti a mantenere attive queste estensioni del browser “dormienti” senza alcun payload dannoso. In alcuni casi, il codice dannoso è stato attivato una settimana dopo l’installazione. Inoltre, l’attività dannosa è stata attivata solo in un numero limitato di casi, circa una visita su dieci al sito web, riducendo significativamente la probabilità di essere rilevati.

I metodi utilizzati per nascondere il codice dannoso in questa operazione erano altamente sofisticati. Le estensioni caricavano immagini PNG contenenti contenuti JavaScript nascosti. Il logo dell’estensione fungeva da mascheramento : al caricamento, l’immagine veniva decriptata, il codice veniva estratto ed eseguito senza essere rilevato dall’utente.

Il codice scaricato in aggiunta era protetto da più livelli di crittografia e offuscamento, inclusi metodi di codifica proprietari, crittografia XOR e un packaging specificamente progettato per eludere gli strumenti di analisi automatizzati. Una volta attivate, le estensioni contattavano server remoti e scaricavano fino a 67 kilobyte di codice JavaScript aggiuntivo. Ciò consentiva ai criminali di controllare le azioni dell’estensione senza aggiornarle, eliminando qualsiasi necessità di ulteriori controlli.

L’approccio di DarkSpectre alla distribuzione del malware si è dimostrato particolarmente efficace grazie alla sua architettura, basata sulla sostituzione del payload lato server. Ciò significa che è impossibile mitigare la minaccia semplicemente bloccando una versione specifica dell’estensione: il contenuto viene modificato al volo, senza l’intervento dell’utente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.