Un gruppo di hacker che opera sotto il nome di DarkSpectre ha infettato sistematicamente i computer degli utenti dei browser Chrome, Edge e Firefox nel corso di sette anni. Secondo Koi Security , hanno preso di mira oltre 8,8 milioni di dispositivi unici. L’operazione su larga scala ha incluso tre campagne distinte ed è stata caratterizzata da un elevato livello di coordinamento e intraprendenza.
L’indagine ha rivelato che le campagne ShadyPanda, Zoom Stealer e GhostPoster, nonostante i loro diversi scopi (che spaziano dal furto di dati degli utenti allo spionaggio aziendale), sono state tutte condotte dalla stessa organizzazione criminale. In totale, hanno utilizzato oltre un centinaio di estensioni distribuite tramite gli store ufficiali dei browser. Gli aggressori hanno abilmente combinato funzioni legittime (come la visualizzazione del meteo o la creazione di nuove schede) con attività dannose che hanno eluso la maggior parte dei sistemi di sicurezza.
Gli esperti hanno esaminato l’infrastruttura di ShadyPanda e hanno scoperto che due domini utilizzati dalle estensioni, infinitynewtab.com e infinitytab.com, comunicavano simultaneamente con i server di comando e controllo dannosi. Questi domini sono diventati la chiave per unire campagne apparentemente distinte in un’unica catena.
Advertising
Particolarmente allarmante è il periodo di tempo in cui gli aggressori sono riusciti a mantenere attive queste estensioni del browser “dormienti” senza alcun payload dannoso. In alcuni casi, il codice dannoso è stato attivato una settimana dopo l’installazione. Inoltre, l’attività dannosa è stata attivata solo in un numero limitato di casi, circa una visita su dieci al sito web, riducendo significativamente la probabilità di essere rilevati.
I metodi utilizzati per nascondere il codice dannoso in questa operazione erano altamente sofisticati. Le estensioni caricavano immagini PNG contenenti contenuti JavaScript nascosti. Il logo dell’estensione fungeva da mascheramento : al caricamento, l’immagine veniva decriptata, il codice veniva estratto ed eseguito senza essere rilevato dall’utente.
Il codice scaricato in aggiunta era protetto da più livelli di crittografia e offuscamento, inclusi metodi di codifica proprietari, crittografia XOR e un packaging specificamente progettato per eludere gli strumenti di analisi automatizzati. Una volta attivate, le estensioni contattavano server remoti e scaricavano fino a 67 kilobyte di codice JavaScript aggiuntivo. Ciò consentiva ai criminali di controllare le azioni dell’estensione senza aggiornarle, eliminando qualsiasi necessità di ulteriori controlli.
L’approccio di DarkSpectre alla distribuzione del malware si è dimostrato particolarmente efficace grazie alla sua architettura, basata sulla sostituzione del payload lato server. Ciò significa che è impossibile mitigare la minaccia semplicemente bloccando una versione specifica dell’estensione: il contenuto viene modificato al volo, senza l’intervento dell’utente.
Navigatore
Estensione
ID
Google Chrome
Acquisizione audio Chrome
kfokdmfpdnokpmpbjhjbcabgligoelgp
Google Chrome
ZED: Zoom Easy Downloader
pdadlkbchinonakkfkdaadceojbekep
Google Chrome
X ( Twitter ) Video Downloader
akmdionenlnfcipmdhbhcnkighafmdha
Google Chrome
Google Meet Auto Admit
pabkjoplheapcclldpknfpcepheldbga
Google Chrome
Zoom.us mostra sempre “Partecipa dal Web”
aedgpiecagcpmehhelbibfbgpfiafdkm
Google Chrome
Timer per Google Meet
dpdgjbnanmmlikideilnpfjjdbmneanf
Google Chrome
CVR: Registratore video Chrome
kabbfhmcaaodobkfbnnehopcghicgffo
Google Chrome
GoToWebinar e GoToMeeting Scarica le registrazioni
cphibdhgbdoekmkkcbbaoogedpfibeme
Google Chrome
Incontra l’ammissione automatica
ceofheakaalaecnecdkdanhejojkpeai
Google Chrome
Ottimizzazione di Google Meet (emoji, testo, effetti della camma)
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.