Uma nova campanha de extensões de navegador, denominada DarkSpectre, foi revelada após comprometer 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox. Esta operação, atribuída a um grupo de ameaças chinês, faz parte de um conjunto de ataques que já impactou mais de 8,8 milhões de pessoas ao longo de sete anos.
As campanhas ShadyPanda e GhostPoster, também ligadas ao mesmo grupo, foram responsáveis por roubar dados, sequestrar buscas e cometer fraudes de afiliados. A ShadyPanda, por exemplo, afetou 5,6 milhões de usuários, utilizando mais de 100 extensões para realizar suas atividades ilícitas. Algumas dessas extensões, como a “New Tab – Customized Dashboard”, possuem bombas lógicas que ativam comportamentos maliciosos após um período de três dias.
A campanha DarkSpectre, especificamente, utiliza 18 extensões para coletar informações de reuniões corporativas, como URLs, senhas e listas de participantes. Essas extensões imitam ferramentas de videoconferência populares, como Google Meet e Zoom, para extrair dados em tempo real. As informações obtidas podem ser usadas para espionagem corporativa, vendendo dados para outros agentes mal-intencionados.
Vários indícios apontam para a origem chinesa das operações, incluindo o uso de servidores de comando e controle hospedados na Alibaba Cloud e registros de provedores de conteúdo da Internet vinculados a províncias chinesas. Além disso, os códigos das extensões contêm comentários em chinês e as fraudes são direcionadas a plataformas de comércio eletrônico chinesas.
Fonte:https://thehackernews.com/2025/12/darkspectre-browser-extension-campaigns.html
