För mer än sju år i radEn storskalig cyberbrottsoperation har lyckats infiltrera de viktigaste webbläsarna på marknaden, inklusive Google Chrome och Microsoft Edge, genom till synes ofarliga tillägg. Attackens omfattning är så omfattande att det uppskattas att minst 8,8 miljoner användare Människor över hela världen kan ha drabbats, många av dem i Europa och Spanien.
Utredningen, som leds av cybersäkerhetsspecialister som företaget Koi.aihar avslöjat ett välorganiserat kriminellt nätverk, kallat DarkSpectresom påstås utnyttja förtroendet för officiella tilläggsbutiker för att distribuera skadlig kod. Den mest oroande aspekten är att De flesta av de drabbade hade ingen som helst misstanke att deras bankuppgifter, inloggningsuppgifter eller företagsinformation registrerades i bakgrunden.
En tyst attack som utnyttjade Chrome- och Edge-tillägg
Enligt data som avslöjats av forskare byggde DarkSpectre en komplex infrastruktur för att publicera och underhålla nästan 300 skadliga tillägg i de officiella Chrome-, Edge-, Firefox- och Opera-butikerna. Många av dessa tillägg presenterades som mycket vardagliga verktyg: från flikhanterare och översättare till annonsblockerare eller verktyg för att förbättra produktiviteten.
Tricket var att erbjuda legitima funktioner från början, och därigenom få nedladdningar och ett gott rykte baserat på artificiellt genererade positiva recensioner och betygNär tilläggen nådde ett betydande antal användare, tryckte angriparna på hemliga uppdateringar som införlivade den skadliga koden utan att användaren märkte några uppenbara förändringar i driften.
När det gäller Chromium-baserade webbläsare, som t.ex. Google Chrome och Microsoft EdgeEtt nätverk av trojanska hästliknande tillägg förklädda som anpassningsverktyg eller annonsblockerare upptäcktes. Minst en fas av attacken identifierad. 30 särskilt populära tillägg kapabla att stjäla bankuppgifter, lösenord för sociala medier och autofyllda formulär, och skicka all denna information i realtid till servrar som kontrolleras av cyberbrottslingar.
Förutom datastöld inkluderade flera av dessa tillägg funktioner för annonsinjektion och sökomdirigeringDetta möjliggjorde visning av påträngande annonser, vilket omdirigerade användare till nätfiskewebbplatser och mångdubblade möjligheterna till bedrägerier, inklusive att utge sig för att vara banksidor eller betaltjänster som används i stor utsträckning i Spanien och resten av Europa.
Mer än 8,8 miljoner offer och tre stora samordnade kampanjer
Attackens omfattning återspeglas i de siffror som hanteras av underrättelsetjänster och cybersäkerhetsföretag: det uppskattas att 8,8 miljon användare De har påverkats världen över av de olika kampanjerna i samband med DarkSpectre. För att uppnå detta har gruppen påstås ha upprätthållit tre distinkta anfallslinjer, känd som ShadyPanda, GhostPoster och Zoom Stealer.
kampanj ShadyPanda Den var den mest aggressiva volymmässigt. Genom mer än 100 skadliga tillägg, främst inriktat på att manipulera e-handelstrafik, skulle ha äventyrat data för cirka 5,6 miljoner användareNär de dolda funktionerna väl aktiverades kunde dessa tillägg modifiera länkar på shoppingportaler, omdirigera betalningar till bedrägliga sidor eller injicera ytterligare kod för att fortsätta spåra användaraktivitet.
Experter påpekar att dessa manövrar påverkade nätbutiker och allmänt använda betaltjänster i Europeiska unionen, vilket öppnade dörren för gränsöverskridande ekonomiskt bedrägeri och potentiella problem med regelefterlevnad för plattformar som inte upptäckte trafikmanipulation i tid.
Den andra stora offensiven, kallad SpökaffischDess huvudsakliga mål var webbläsare Firefox och Operasom hade något mindre stränga säkerhetskontroller än Chrome och Edge. I det här fallet var den differentierande faktorn användningen av steganografiAngriparna gömde skadlig JavaScript-kod inuti PNG-bildfiler, vilket gjorde det möjligt för dem att köra fjärrinstruktioner och ladda ner nya skadliga moduler utan att väcka misstanke.
Ett av de mest slående exemplen var kloningen av en förlängning av Google Translate för Operavilket vid första anblicken verkade vara ett legitimt verktyg. Bakom kulisserna installerade den dock en bakdörr med hjälp av en iframe Dold inaktiverade den webbläsarens bedrägeriskydd och upprättade en anslutning till servrar som tidigare varit länkade till andra DarkSpectre-operationer, vilket skapade en permanent åtkomstkanal till offrets system.
Zoom Stealer: Språnget in i spionage i företagsvideosamtal
Den tredje fasen av attacken, identifierad som Zoomstjälare, tog ett kvalitativt språng genom att helt fokusera på affärsmiljöI slutet av 2025 upptäckte forskare minst 18 specifika tillägg riktad mot videokonferensplattformar som Zoom, Microsoft Teams och Google Meet, med en uppskattad påverkan på 2,2 miljon användare.
Dessa tillägg marknadsfördes som ideala komplement till distansarbete och distansmöten: de lovade sammanfatta videor, spara intressanta länkar, generera deltagarlistor eller generera en automatisk sammanfattning av varje session. En mycket attraktiv profil för spanska och europeiska företag som har konsoliderat hybrid- och distansarbete under senare år.
Efter installationen började verktygen avlyssna kritisk information från videosamtal: åtkomstlänkar, mötes-ID:n, gästlösenord och, i vissa fall, delat innehåll eller metadata relaterat till presentationer och dokument som diskuterats under sessionerna.
Med denna data kunde angriparna få åtkomst till privata möten, många av dem på hög nivå, och skapa databaser över professionell och kommersiell intelligens med enormt strategiskt värde. Enligt de konsulterade källorna äventyrades internkommunikationen gällande affärsplaner, investeringsavtal, marknadsstrategier och andra frågor som är mycket känsliga för de inblandade företagens konkurrenskraft.
Parallellt utnyttjade Zoom Stealer de breda behörigheter som beviljats tillägg för att utföra utdrag ur autentiseringsuppgifter i realtidDetta inkluderade företagsinloggningsuppgifter, åtkomstnycklar till molnverktyg och professionella profiler som sedan kunde återanvändas i riktade attacker, såsom skräddarsydda nätfiskekampanjer mot anställda i europeiska organisationer.
Påverkan på användare och företag i Europa och Spanien
DarkSpectre-fallet har belyst i vilken utsträckning den betrodda kedjan av hårförlängningsbutiker Detta kan bli en sårbarhet för medborgare och organisationer. Även om attacken hade global räckvidd övervakar europeiska myndigheter och incidenthanteringsteam i flera länder, inklusive Spanien, noggrant effekterna på lokala användare.
För enskilda användare innebär konsekvenserna hemlig övervakning av hans onlineaktivitetMöjlig identitetsstöld, obehöriga debiteringar vid onlineköp och läckor av personuppgifter som kan hamna på hemliga forum. Många offer inser inte ens att de har blivit måltavlor, eftersom de flesta tillägg verkar fungera normalt.
Inom företagssfären är slaget ännu allvarligare. Europeiska företag som baserar en stor del av sin verksamhet på molnverktyg och videokonferenser står inför riskerna med industrispionageLäckage av strategiska avtal och exponering av konfidentiell information om kunder, leverantörer och partners. Dessutom kan företag vara skyldiga att rapportera säkerhetsincidenter enligt regler som Allmän dataskyddsförordning (RGPD)med antagande om kostnader för anseende och eventuella sanktioner.
Preliminära rapporter tyder på att det kriminella nätverket kan ha byggt upp autentiska företagsdatalager Denna information erhålls genom privata samtal, dokument som delas i möten och obehörig åtkomst till intranät eller interna tjänster. Den är extremt värdefull för försäljning på svarta marknader, såväl som för utpressningskampanjer eller illojal konkurrens.
Europeiska myndigheter samarbetar med teknikleverantörer för att förbättra detekteringssystem i hårförlängningsstudior och stärka kontrollen över användningen av personuppgifter. Experter påpekar dock att inget automatiserat system är ofelbart och att den sista försvarslinjen förblir användaren och deras säkerhetsvanor.
Så här skyddar du dig efter den massiva cyberattacken mot Chrome och Edge
Inför ett sådant utdraget och sofistikerat scenario rekommenderar cybersäkerhetsexperter en rad omedelbara åtgärder för att minska påverkan av attacken och förhindra ytterligare infektioner, särskilt bland Chrome- och Edge-användare i Spanien och resten av Europa.
Det första steget är att utföra en fullständig granskning av tillägg Dessa tillägg installeras i alla webbläsare. Det är lämpligt att granska dem ett efter ett och avinstallera alla tillägg som inte känns igen, inte används regelbundet eller inte kommer från en betrodd utvecklare. Om du är osäker är det bäst att ta bort och installera om endast från den officiella leverantörens källa om det är absolut nödvändigt.
Det är också viktigt att kontrollera att webbläsaren är uppdaterad till den senaste tillgängliga versionenBåde Google och Microsoft har införlivat patchar för att blockera några av de tekniker som används av DarkSpectre, så de senaste versionerna inkluderar specifika förbättringar i upptäckten av misstänkt beteende och i hanteringen av tilläggsbehörigheter.
Angående onlinekonton rekommenderas att ändra lösenord för kritiska tjänster (e-post, internetbank, sociala medier, företagsverktyg) om det finns någon misstanke om att ha använt ett komprometterat tillägg. Det är lämpligt att ta tillfället i akt att använda unika och starka lösenord för varje tjänst, helst med hjälp av en lösenordshanterare.
Dessutom insisterar specialister på att aktivera tvåfaktorsautentisering (2FA) när det är möjligt. Denna mekanism lägger till ett extra skyddslager, så att även om en angripare får tag på ett lösenord blir det mycket svårare för dem att komma åt kontot utan den tillfälliga koden eller det andra verifieringselementet.
Slutligen, för organisationer som är starkt beroende av plattformar som Zoom, Teams eller Google Meet, rekommenderas det att implementera periodiska inspektioner av installerade tillägg i företagswebbläsare, implementera säkerhetspolicyer som begränsar installationen av obehöriga tillägg och utbildar anställda i att upptäcka potentiella bedrägerier, både i tillägg och i e-postmeddelanden eller länkar som kan medfölja liknande kampanjer.
Allt som upptäckts om DarkSpectre och dess kampanjer ShadyPanda, GhostPoster och Zoom Stealer återspeglar i vilken utsträckning Webbläsartillägg har blivit ett prioriterat mål För cyberbrottslingar har kombinationen av förtroende för officiella butiker, användbara funktioner och manipulerade recensioner gjort det möjligt för dem att utstå en tyst attack i åratal med en enorm inverkan på enskilda användare och företag. Detta tvingar oss att ompröva hur vi installerar och hanterar dessa tillägg i våra digitala dagliga liv.
