– MARKUS SPISKE/UNSPLASH – Archivo
MADRID, 8 Ene. (CIBERPRO) –
Darkspectre es el grupo responsable de tres campañas maliciosas relacionadas con extensiones de navegador que han impactado a más de 8,8 millones de usuarios mediante diversas técnicas y objetivos, incluyendo el robo de información y fraudes.
Darkspectre es el nombre que la compañía de seguridad KOI ha asignado a un actor de amenazas de origen chino que, en los últimos años, ha llevado a cabo «las campañas más grandes y sofisticadas» de tipo malicioso, distribuidas a través de extensiones para navegadores web.
En particular, esta firma menciona tres campañas que han afectado a más de 8,8 millones de personas a lo largo de una operación que ha persistido durante siete años: ShadyPanda, GhostPoster y The Zoom Stealer. Estas campañas utilizaban extensiones de navegador para monitorear y robar datos corporativos, tal como se detalla en su blog oficial.
La investigación sobre ShadyPanda permitió descubrir un centenar de extensiones vinculadas a dos dominios: infinitynewtab.com e infinitytab.com, que resultaron ser sitios web legítimos que ofrecían las funcionalidades de las extensiones, también de forma legítima.
Estas extensiones se mantuvieron activas entre tres y cinco años, e incluso poseían insignias de verificación de las tiendas oficiales de Chrome, Edge y Firefox, cumpliendo con la función que prometían. Sin embargo, de manera silenciosa, realizaban actividades de monitoreo y fraude de afiliados.
Además, se descubrió que una de las extensiones de ShadyPanda compartía la infraestructura C2 con GhostPoster, una campaña maliciosa que ya había comprometido a millones de usuarios de Firefox mediante archivos PNG que ocultaban una carga útil. También había otra extensión de traducción para Opera involucrada.
Una tercera extensión mostraba un comportamiento distinto. Se comunicaba con la infraestructura principal de ShadyPanda y, además de robar datos y vigilar a las víctimas, podía recopilar información de plataformas de videoconferencia. A partir de esta extensión se identificaron otras 17 que formaban parte de la campaña conocida como The Zoom Stealer.
Las tres campañas comparten el mismo actor de amenazas, que decidió no repetir la misma estrategia exitosa, sino realizar campañas maliciosas paralelas en los navegadores principales, cada una con su propia técnica y objetivo. En total, KOI ha identificado más de 300 extensiones asociadas con Darkspectre.
