Миналия месец, изследователи от Кои сигурност публикуваха подробен анализ на злонамерено разширение за Firefox, което нарекоха GhostPoster - зловреден софтуер, базиран на браузър, използващ необичаен и скрит метод за доставяне на полезен софтуер: стеганография в PNG файл с икониТози иновативен подход позволи на зловредния софтуер да избегне традиционните проверки за сигурност на разширенията и инструментите за статичен анализ.

След публикуването им, нашето разследване установи 17 допълнителни разширения свързани със същата инфраструктура и тактики, техники и процедури (TTP). Взети заедно, тези разширения бяха изтеглени над 840,000 пъти, като някои остават активни в дивата природа в продължение на до пет години.

Технически преглед: Многоетапно избягване и доставка на полезен товар

Зловредният софтуер GhostPoster използва многоетапна верига на заразяване, предназначена за скритост и постоянство:

1. Кодиране на полезен товарПървоначалният зареждащ файл е вграден в двоичните данни на PNG иконата на разширението.
2. Извличане по време на изпълнениеСлед инсталиране, разширението анализира иконата, за да извлече скритите данни, поведение, което се отклонява от типичната логика на разширението.
3. Отложено активиранеЗловредният софтуер забавя изпълнението с 48 часа или повечеи инициира C2 комуникация само при определени условия.
4. Извличане на полезен товарИзвлеченият зареждащ файл се свързва с отдалечен C2 сървър, за да изтегли допълнителни полезни товари, базирани на JavaScript.
   

След активиране, зловредният софтуер е способен на:

• Премахване и инжектиране на HTTP заглавки да отслаби политиките за уеб сигурност (напр. CSP, HSTS).
• Отвличане на партньорски трафик за монетизация.
• Инжектиране на iframe-и и скриптове за измама с кликвания и проследяване на потребители.
• Програмно решаване на CAPTCHA и инжектиране на допълнителни злонамерени скриптове за разширен контрол.
  

Тези характеристики показват, че кампанията е не само финансово мотивирана, но и технически зряла, като набляга на оперативната скритост и дълготрайността.

Инфраструктура и атрибуция на заплахи

Инфраструктурата, разкрита от Koi Security, е свързана със 17 разширения за Firefox, всички от които споделят сходни модели на обфускация, C2 поведение и стратегии за забавено изпълнение. Нашата автоматизирана лаборатория за зловреден софтуер за разширения потвърди, че същата инфраструктура на злонамерени лица е била използвана и за разпространение на разширения в... Магазин за добавки за Google Chrome и Microsoft EdgeНашият анализ показва, че кампанията произхожда от браузъра Microsoft Edge, с по-късно разширение до Firefox и Chrome.

Фигура 1. Качване на GhostPoster в магазини за разширения на браузъра

Основни констатации:

• 17 потвърдени удължавания, с припокриване на инфраструктурата и общи модели на товарене.
• Над допълнителни 840 000 кумулативни инсталации в браузърите Firefox, Chrome и Edge.
• Злонамерено присъствие, датиращо от 2020 г., което показва дългосрочен оперативен успех, заобикаляйки всички проверки за сигурност на основните браузъри и магазини.
• Варианти, използващи алтернативни механизми за доставка, което предполага продължаващо експериментиране и адаптация.

Разширен анализ на варианти: Базирано на фонов скрипт етапно генериране на полезен товар

Освен предварително идентифицираните разширения, наблюдавахме по-сложен и уклончив вариант, свързан със същата кампания, който сам по себе си е генерирал 3,822 инсталации. 

Фигура 2. Разширение за Firefox, достъпно за изтегляне от магазина.

В тази итерация злонамерената логика е вградена във фоновия скрипт и използва файл с изображение, включен в разширението, като скрит контейнер за полезен товар. По време на изпълнение фоновият скрипт извлича изображението и сканира неговата сурова байтова последователност за разделителя. [62,62,62,62] - съответстващ на ASCII низа '>>>>'Всички данни след този маркер се декодират като текст и се съхраняват постоянно в chrome.storage.local под ключа instlogo.

Фигура 3. Четене на .png съдържание, декодиране и запазване в локално хранилище.

Съхранените данни по-късно се извличат, декодират се по Base64 и се изпълняват динамично като допълнителен JavaScript полезен товар.

Фигура 4. Декодиран .png полезен товар.

Този вторичен скрипт въвежда допълнително избягване, като спи приблизително пет дни преди да започне мрежова активност. След активиране, той извлича съдържание от отдалечен сървър, извлича предоставени от сървъра данни, съхранени като Ключове, кодирани с Base64и изпълнява декодираното съдържание, което позволява текущи актуализации на полезния товар и разширен контрол. 

Фигура 5. Png полезен товар - Четене от локално хранилище и декодиране на следващия етап.

Този поетапен поток на изпълнение демонстрира ясна еволюция към по-дълъг период на латентност, модулност и устойчивост срещу статични и поведенчески механизми за откриване.

Устойчивост след премахването

Въпреки че Mozilla и Microsoft премахнаха известните злонамерени разширения от съответните си магазини, разширенията, които вече са инсталирани на потребителските системи, остават активни освен ако не е изрично премахнато от потребителя. Тази устойчивост подчертава ограниченията на премахването на хранилища като стратегия за ограничаване, особено за зловреден софтуер, използващ забавено активиране и модулно доставяне на полезен товар.

МОК

ТТП

Препоръки

Специалистите по сигурността, защитниците на корпоративни системи и разработчиците на браузъри трябва да предприемат следните действия:

• Разширения на одита в управлявани среди, особено тези, инсталирани извън контрола на правилата.
• Разполагане технологии за наблюдение на разширения, базирани на поведение за откриване на неоторизирана мрежова активност или подозрителна манипулация на DOM.