对于超过 连续七年一场大规模的网络犯罪行动已成功通过看似无害的扩展程序渗透到市场上主流浏览器,包括谷歌Chrome和微软Edge。此次攻击的范围之广,据估计…… 至少有 8,8 万用户 世界各地的人们都可能受到影响,其中许多人生活在欧洲和西班牙。
这项调查由网络安全专家(例如该公司)牵头进行。 锦鲤已揭露一个组织严密的犯罪网络,该网络被称为 暗影幽灵据称,他们利用人们对官方扩展商店的信任来传播恶意软件。最令人担忧的是…… 大多数受影响的人毫无戒心。 他们的银行详细信息、凭证或公司信息在后台被窃取。
利用 Chrome 和 Edge 扩展程序的静默攻击
根据研究人员披露的数据,DarkSpectre 构建了一个复杂的基础设施来发布和维护内容。 近300个恶意扩展程序 在官方的 Chrome、Edge、Firefox 和 Opera 应用商店中。许多此类扩展程序都被宣传为非常日常实用的工具:从标签页管理器和翻译器到…… 广告拦截器 或者提高生产力的工具。
诀窍在于一开始就提供合法的功能,从而获得下载量并建立良好的声誉。 人为生成的正面评价和评分一旦这些扩展程序拥有了相当数量的用户,攻击者就开始推送 秘密更新 恶意代码被植入系统,而用户并未察觉到任何明显的运行变化。
对于基于 Chromium 的浏览器,例如: 谷歌浏览器和微软Edge检测到一个由伪装成自定义工具或广告拦截器的木马式扩展程序组成的网络。至少已识别出该攻击的一个阶段。 30 个特别受欢迎的扩展程序 能够窃取银行凭证、社交媒体密码和自动填充表单数据,并将所有这些信息实时发送到网络犯罪分子控制的服务器。
除了数据窃取之外,其中一些扩展程序还包含以下功能: 广告注入和搜索重定向这使得恶意广告得以展示,将用户重定向到钓鱼网站,并增加了欺诈的可能性,包括冒充西班牙和欧洲其他地区广泛使用的银行页面或支付服务。
超过8,8万受害者和三项重大协调行动
此次攻击的规模从情报机构和网络安全公司处理的数据中可见一斑:据估计, 8,8万用户 他们受到了与DarkSpectre相关的各种活动在全球范围内的影响。为了达到这个目的,该组织据称维持了…… 三条不同的进攻路线又名 ShadyPanda、GhostPoster 和 Zoom Stealer。
运动 ShadyPanda 就销量而言,它是最激进的。通过超过 100 个恶意扩展程序主要目的是操纵电子商务流量,这将危及以下数据: 大约 5,6 亿用户一旦隐藏功能被激活,这些扩展程序就可以修改购物门户网站上的链接,将付款重定向到欺诈页面,或者注入额外的代码来继续跟踪用户活动。
专家指出,这些举措影响了欧盟的在线商店和广泛使用的支付服务,为……打开了方便之门。 跨境金融诈骗 对于未能及时发现流量操纵行为的平台,还可能存在监管合规问题。
第二次大规模攻势,被称为 幽灵海报它的主要目标是浏览器。 Firefox和Opera它的安全控制措施比 Chrome 和 Edge 略微宽松一些。在这种情况下,区别在于使用了…… 隐写术攻击者将恶意 JavaScript 代码隐藏在 PNG 图像文件中,从而可以在不引起怀疑的情况下执行远程指令并下载新的恶意软件模块。
最引人注目的例子之一是对扩展程序的克隆 适用于 Opera 的 Google 翻译乍一看,它似乎是一个合法的工具。然而,实际上,它利用某种技术安装了后门。 IFRAME 该程序隐藏起来,禁用了浏览器的反欺诈保护功能,并与之前与其他 DarkSpectre 操作关联的服务器建立了连接,从而创建了通往受害者系统的永久访问通道。
Zoom窃贼:企业视频通话中的间谍活动
攻击的第三阶段,被认定为 Zoom Stealer,通过完全专注于……实现了质的飞跃 商业环境到2025年底,研究人员至少检测到了 18 个具体扩展 针对 Zoom、Microsoft Teams 和 Google Meet 等视频会议平台,预计会对以下方面产生影响: 2,2万用户.
这些扩展程序被宣传为远程办公和远程会议的理想补充:它们承诺 视频摘要、保存感兴趣的链接、生成参与者列表 或者自动生成每次会话的摘要。对于近年来已全面推行混合办公和远程办公模式的西班牙和欧洲公司而言,这是一个极具吸引力的功能。
安装完毕后,这些工具就开始…… 截获关键信息 视频通话中包含:访问链接、会议 ID、来宾密码,以及在某些情况下,与会议期间讨论的演示文稿和文档相关的共享内容或元数据。
利用这些数据,攻击者能够访问私人会议(其中许多是高层会议),并创建数据存储库。 专业和商业情报 具有巨大的战略价值。据知情人士透露,涉及商业计划、投资协议、市场战略以及其他对相关公司竞争力高度敏感事项的内部沟通均受到损害。
与此同时,Zoom Stealer 利用扩展程序被授予的广泛权限来执行以下操作: 实时凭证泄露这包括企业登录凭证、云工具访问密钥和专业个人资料,这些信息随后可以用于有针对性的攻击,例如针对欧洲组织员工的高度定制化网络钓鱼活动。
对欧洲和西班牙用户及公司的影响
DarkSpecre 案凸显了……的程度。 值得信赖的接发连锁店 这可能对公民和组织构成安全隐患。尽管此次攻击波及全球,但包括西班牙在内的多个欧洲国家的当局和应急响应小组正在密切监测其对当地用户的影响。
对于个人用户而言,其后果体现在以下方面: 对他进行秘密监视 在线活动可能导致身份盗窃、未经授权的网上购物扣款以及个人数据泄露,这些数据最终可能会出现在一些秘密论坛上。许多受害者甚至不会意识到自己已成为攻击目标,因为大多数浏览器扩展程序看起来运行正常。
在企业领域,打击更为严重。那些将大部分运营依赖于云工具和视频会议的欧洲公司正面临着严峻的挑战。 工业间谍活动的风险战略协议泄露以及客户、供应商和合作伙伴的机密信息曝光。此外,公司可能需要根据相关法规(例如……)报告安全事件。 通用数据保护条例(RGPD)考虑到声誉损失和可能的制裁。
初步报告显示,该犯罪网络可能已经建立了真实的 企业数据仓库 这些信息是通过私人谈话、会议中共享的文件以及未经授权访问内网或内部服务获得的。它在黑市上极具价值,也常被用于敲诈勒索或不正当竞争。
欧洲当局正与技术供应商合作,改进假发店的检测系统,并加强对个人数据使用的管控。然而,专家指出, 没有哪个自动化系统是完美无缺的。 而最后一道防线仍然是用户及其安全习惯。
Chrome 和 Edge 遭受大规模网络攻击后,如何保护自己?
面对如此旷日持久且错综复杂的局面,网络安全专家建议立即采取一系列措施: 减少影响 防止此次攻击并阻止进一步感染,尤其是在西班牙和欧洲其他地区的 Chrome 和 Edge 用户中。
第一步是制定 扩展程序全面审计 这些插件已安装在所有浏览器上。建议您逐一检查,卸载任何无法识别、不常用或并非来自可信开发者的插件。如有疑问,最好仅在绝对必要时才从官方来源卸载并重新安装。
此外,还必须检查浏览器是否已启用。 更新到可用的最新版本谷歌和微软都一直在进行补丁程序,以阻止 DarkSpectre 使用的一些技术,因此最新版本在检测可疑行为和扩展程序权限管理方面都进行了具体的改进。
关于在线账户,建议更改 关键服务的密码 如果怀疑使用了被盗用的扩展程序,请立即检查您的邮箱、网上银行、社交媒体和企业工具等账户。建议您借此机会为每个服务设置独一无二且强度高的密码,最好使用密码管理器辅助管理。
此外,专家们坚持启动 双因素身份验证 (2FA) 尽可能启用此功能。此机制增加了一层额外的保护,即使攻击者获取了密码,如果没有临时验证码或第二重验证,他们也很难访问帐户。
最后,对于严重依赖 Zoom、Teams 或 Google Meet 等平台的组织,建议实施 定期检查已安装的扩建部分 在企业浏览器中, 实施安全策略 限制安装未经授权的插件,并培训员工识别潜在的诈骗行为,包括插件、电子邮件或类似活动中可能出现的链接。
所有关于 DarkSpectre 及其 ShadyPanda、GhostPoster 和 Zoom Stealer 活动的发现都反映了以下程度: 浏览器扩展程序已成为优先目标 对于网络犯罪分子而言,对官方应用商店的信任、实用功能以及人为操纵的评论,使得他们能够持续多年发动隐蔽攻击,对个人用户和企业造成巨大影响。这迫使我们重新思考如何在日常数字生活中安装和管理这些插件。
