Ti sei mai chiesto se le estensioni che installi sul tuo browser potrebbero nascondere intenzioni malevole? Mentre navighiamo quotidianamente su Internet, alcuni gruppi di hacker elaborano metodi ingegnosi per trasformare strumenti apparentemente innocui in vere minacce. Scopri come il gruppo DarkSpectre sfrutta questa tecnica per spiare milioni di utenti in tutto il mondo.
Le 3 informazioni da non perdere
- Il gruppo di hacker DarkSpectre ha infettato circa 8,8 milioni di utenti in tutto il mondo.
- La campagna ZoomStealer ha trasformato estensioni di produttività in strumenti di spionaggio.
- Gli indizi tecnici suggeriscono un coinvolgimento di un attore legato alla Cina.
DarkSpectre e i suoi metodi di infiltrazione
I ricercatori di Koi Security hanno identificato un gruppo di hacker, chiamato DarkSpectre, che ha infettato milioni di utenti in tutto il mondo. Attivo da oltre sette anni, questo collettivo si specializza nell’infezione di browser Web pubblicando estensioni gratuite e utili.
La loro strategia consiste nel guadagnare la fiducia degli utenti, per poi trasformare queste estensioni in software malevoli tramite aggiornamenti. Questo schema è stato applicato sui marketplace delle estensioni dei browser come Chrome, Firefox e Opera.
La campagna ZoomStealer: uno spionaggio mirato
Tra le operazioni recenti di DarkSpectre, la campagna ZoomStealer è particolarmente notevole. Si basa sull’utilizzo di 18 estensioni diverse, camuffate come strumenti di produttività come estrattori di video o registratori audio. Queste estensioni richiedono permessi estesi su oltre 28 servizi, tra cui Zoom e Microsoft Teams.
Una volta installate, diventano dispositivi di spionaggio sofisticati, capaci di raccogliere informazioni sensibili durante le riunioni online. I dati estratti includono link di riunione, identificativi di sessione, nonché informazioni dettagliate sui partecipanti e gli organizzatori.
Le implicazioni dello spionaggio da parte di DarkSpectre
La campagna ZoomStealer ha già infettato 2,2 milioni di macchine e rappresenta una nuova fase per DarkSpectre. Questo gruppo, un tempo noto per operazioni di sorveglianza di massa, si orienta ora verso l’intelligence mirata sulle aziende. Le informazioni raccolte permettono di mappare gli interessi delle organizzazioni, aprendo la strada a campagne di phishing sofisticate.
Indizi puntano verso un’origine cinese
I ricercatori di Koi Security hanno rilevato indizi tecnici che suggeriscono una connessione di DarkSpectre a un attore legato alla Cina. Tra questi indizi, si trovano infrastrutture ospitate su Alibaba Cloud, commenti di codice in lingua cinese e orari di attività specifici.
Contesto di DarkSpectre e delle minacce informatiche
DarkSpectre si inserisce in un panorama di minacce informatiche in continua evoluzione, dove gruppi organizzati sfruttano falle per raggiungere i loro obiettivi. Da diversi anni, gli attacchi informatici si moltiplicano, colpendo sia gli utenti individuali che le grandi aziende.
I cybercriminali, come DarkSpectre, sfruttano i progressi tecnologici e le vulnerabilità dei sistemi per portare a termine le loro operazioni. La vigilanza e la sensibilizzazione degli utenti restano essenziali per proteggersi da queste minacce sempre più sofisticate.
