Darkspectre es el actor detrás de tres campañas maliciosas para extensiones de navegador que han afectado a más de 8,8 millones de personas con técnicas y objetivos diferenciados que incluían el robo de datos y el fraude.
Darkspectre es el nombre que la firma de seguridad KOI ha dado a un actor de amenazas chino que en los últimos años ha realizado «las más grandes y sofisticadas campañas» maliciosas, distribuidas en extensiones para navegadores web.
En concreto, esta empresa cita tres campañas, que han afectado a más 8,8 millones de personas en una operación que ha durado siete años: ShadyPanda, GhostPoster y The Zoom Stealer, en las que empleaban extensiones de navegador para vigilar y robar información corporativa, como explica en su blog oficial.
La investigación de ShadyPanda les permitió descubrir cien extensiones conectadas con dos dominios: infinitynewtab.com y infinitytab.com, que resultaron ser sitios web legítimos que ofrecían las funcionalidades de las extensiones, también de manera legítima.
Estas extensiones se mantenían entre tres y cinco años, e incluso contaban con insignias de verificación de las tiendas oficiales de Chrome, Edge y Firefox, y ofrecían la función que promocionaban. Pero de manera silenciosa realizaban tareas de vigilancia y fraude de afiliados.
Asimismo, descubrieron que una de las extensiones de ShadyPanda compartía la infraestructura C2 con GhostPoster, una campaña maliciosa que ya había comprometido a millones de usuarios de Firefox con archivos PNG en los que se ocultaba una carga útil. También lo hacía otra extensión para Opera de traducción.
Una tercera extensión presentaba un comportamiento diferente. Se comunicaba con la infraestructura principal de ShadyPanda, y además de robar datos y vigilar a las víctimas, podía obtener información de plataformas de videoconferencia. A partir de ella se identificaron otras 17 extensiones que formaban parte de una campaña denominada The Zoom Stealer.
Las tres campañas tienen el mismo actor de amenazas en común, que en lugar de repetir la fórmula que funciona, optó por realizar campañas maliciosas paralelas en los principales navegadores, cada una de ellas con su técnica y objetivo. En total, KOI ha identificado más de 300 extensiones vinculadas a Darkspectre.