Allarme DarkSpectre: 8,8 milioni di utenti infettati da estensioni browser malevole

Un’operazione di cyberspionaggio di portata senza precedenti ha recentemente sconvolto la sicurezza digitale globale, mettendo a nudo le vulnerabilità degli store ufficiali di estensioni browser.

Un attacco articolato, battezzato DarkSpectre dagli analisti, ha colpito oltre 8,8 milioni di utenti in tutto il mondo, sfruttando una strategia di infiltrazione lenta, silenziosa e raffinata. Questa campagna, che si estende su più anni, si distingue per l’elevato livello di sofisticazione tecnica e per la capacità di eludere i controlli, ponendo l’accento su una nuova generazione di minacce informatiche con matrice internazionale.

Le indagini dei ricercatori di sicurezza hanno portato alla luce un’architettura criminale suddivisa in tre operazioni coordinate: ShadyPanda, GhostPoster e Zoom Stealer. Ognuna di queste componenti si è avvalsa di tecniche specifiche e di un’attenta selezione dei target, dimostrando una conoscenza approfondita dei meccanismi di distribuzione delle estensioni e delle abitudini degli utenti. Le estensioni malevole, camuffate da strumenti utili come traduttori automatici o gestori delle schede, hanno mantenuto per lungo tempo una parvenza di legittimità, acquisendo la fiducia di milioni di utenti prima di attivare il codice dannoso scaricato da server remoti.

DarkSpectre è un fenomeno preoccupante

La componente ShadyPanda rappresenta il cuore pulsante dell’operazione, con circa 5,6 milioni di infezioni documentate. In questo caso, gli aggressori hanno orchestrato una duplice azione: da un lato, una sorveglianza costante e prolungata degli utenti infetti; dall’altro, l’attivazione di schemi di frode affiliata, soprattutto su piattaforme di e-commerce, con l’obiettivo di monetizzare i dati raccolti. Le attività di cyberspionaggio sono state condotte con estrema cautela, evitando comportamenti sospetti che potessero attirare l’attenzione degli analisti di sicurezza.

Parallelamente, la campagna GhostPoster ha focalizzato la propria attenzione su browser come Firefox e Opera, superando il milione di installazioni. La peculiarità di questa variante risiede nella capacità di occultare malware all’interno di innocui file PNG, sfruttando tecniche di steganografia per aggirare i controlli di sicurezza e ottenere l’esecuzione remota di codice sui dispositivi compromessi. Questa modalità operativa ha permesso agli attaccanti di mantenere un basso profilo e di colpire un’ampia base di utenti senza destare sospetti immediati.

La terza componente, Zoom Stealer, rappresenta l’evoluzione più recente della minaccia. Qui il focus si è spostato verso un target professionale, con la diffusione di falsi strumenti di registrazione video e audio. Attraverso queste finte utility, gli attaccanti sono riusciti a sottrarre credenziali di accesso, link di riunioni riservate e dati aziendali sensibili da circa 2,2 milioni di utenti. L’impatto sulle aziende colpite è stato particolarmente grave, con rischi concreti per la privacy e la sicurezza delle informazioni strategiche.

Le potenziali origini dell’attacco e la prevenzione

L’attribuzione dell’attacco a una matrice cinese si basa su diversi indicatori tecnici: i server di comando e controllo sono stati individuati su Alibaba Cloud, le ICP registrazioni (Internet Content Provider) risultano intestate a soggetti cinesi, mentre numerosi commenti nel codice sorgente sono scritti in mandarino.

Ulteriori elementi di prova derivano dall’attenzione riservata a piattaforme di e-commerce come JD.com e Taobao, entrambe di primaria importanza nel panorama digitale cinese. Questo quadro suggerisce un coinvolgimento diretto o indiretto di attori statali o para-statali, con risorse e competenze fuori dalla portata della criminalità informatica comune.

Gli esperti di sicurezza sottolineano l’urgenza di adottare contromisure efficaci e strutturate. Tra le raccomandazioni principali spiccano il monitoraggio continuo del comportamento runtime delle estensioni e l’introduzione di controlli di integrità su tutti gli asset digitali. Particolare enfasi viene posta sulla necessità di sensibilizzare gli utenti: anche le estensioni apparentemente più affidabili possono celare insidie, rendendo indispensabile un approccio prudente e informato all’installazione di nuovi componenti.