Τον περασμένο μήνα, οι ερευνητές στο Koi Security δημοσίευσαν μια λεπτομερή ανάλυση μιας κακόβουλης επέκτασης Firefox που ονόμασαν Αφίσα Φαντάσματος – ένα κακόβουλο λογισμικό που βασίζεται σε πρόγραμμα περιήγησης και αξιοποιεί μια ασυνήθιστη και αθόρυβη μέθοδο παράδοσης ωφέλιμου φορτίου: στεγανογραφία μέσα σε ένα αρχείο εικονιδίου PNGΑυτή η καινοτόμος προσέγγιση επέτρεψε στο κακόβουλο λογισμικό να αποφύγει τους παραδοσιακούς ελέγχους ασφαλείας επεκτάσεων και τα εργαλεία στατικής ανάλυσης.
Μετά τη δημοσίευσή τους, η έρευνά μας εντόπισε 17 επιπλέον επεκτάσεις που σχετίζονται με την ίδια υποδομή και τακτικές, τεχνικές και διαδικασίες (TTP). Συλλογικά, αυτές οι επεκτάσεις λήφθηκαν πάνω από 840,000 φορές, με κάποια να παραμένουν ενεργά στην άγρια φύση για έως και πέντε χρόνια.
Τεχνική Επισκόπηση: Πολυβάθμια Διαφυγή και Παράδοση Ωφέλιμου Φορτίου
Το κακόβουλο λογισμικό GhostPoster χρησιμοποιεί μια αλυσίδα μόλυνσης πολλαπλών σταδίων σχεδιασμένη για μυστικότητα και επιμονή:
- Κωδικοποίηση ωφέλιμου φορτίου: Το αρχικό πρόγραμμα φόρτωσης είναι ενσωματωμένο στα δυαδικά δεδομένα του εικονιδίου PNG μιας επέκτασης.
- Εξαγωγή κατά τον χρόνο εκτέλεσηςΚατά την εγκατάσταση, η επέκταση αναλύει το εικονίδιο για να εξαγάγει τα κρυφά δεδομένα, μια συμπεριφορά που αποκλίνει από την τυπική λογική της επέκτασης.
- Καθυστερημένη ενεργοποίησηΤο κακόβουλο λογισμικό καθυστερεί την εκτέλεση κατά 48 ώρες ή περισσότεροκαι ξεκινά την επικοινωνία C2 μόνο υπό συγκεκριμένες συνθήκες.
- Ανάκτηση ωφέλιμου φορτίουΟ εξαγόμενος φορτωτής επικοινωνεί με έναν απομακρυσμένο διακομιστή C2 για να κατεβάσει πρόσθετα ωφέλιμα φορτία που βασίζονται σε JavaScript.
Μετά την ενεργοποίηση, το κακόβουλο λογισμικό είναι ικανό να:
- Απογύμνωση και εισαγωγή κεφαλίδων HTTP για την αποδυνάμωση των πολιτικών ασφάλειας ιστού (π.χ., CSP, HSTS).
- Υπερβολική χρήση της επισκεψιμότητας συνεργατών για δημιουργία εσόδων.
- Εισαγωγή iframe και σεναρίων για απάτη κλικ και παρακολούθηση χρηστών.
- Προγραμματική επίλυση CAPTCHA και εισαγωγή πρόσθετων κακόβουλων σεναρίων για εκτεταμένο έλεγχο.
Αυτά τα χαρακτηριστικά υποδεικνύουν ότι η εκστρατεία δεν είναι μόνο οικονομικά υποκινούμενη αλλά και τεχνικά ώριμη, δίνοντας έμφαση στην επιχειρησιακή μυστικότητα και τη μακροζωία.
Υποδομή και Απόδοση Απειλών
Η υποδομή που αποκάλυψε η Koi Security συνδέθηκε με 17 επεκτάσεις του Firefox, οι οποίες μοιράζονταν παρόμοια μοτίβα απόκρυψης, συμπεριφορά C2 και στρατηγικές καθυστερημένης εκτέλεσης. Η αυτοματοποιημένη λειτουργία του εργαστηρίου κακόβουλου λογισμικού επεκτάσεων επιβεβαίωσε ότι η ίδια υποδομή απειλητικών παραγόντων χρησιμοποιήθηκε επίσης για τη διανομή επεκτάσεων στο... Κατάστημα πρόσθετων Google Chrome και Microsoft EdgeΗ ανάλυσή μας δείχνει ότι η καμπάνια προέρχεται από το πρόγραμμα περιήγησης Microsoft Edge, με μεταγενέστερη επέκταση σε Firefox και Chrome.
Σχήμα 1. Μεταφόρτωση GhostPoster σε καταστήματα επεκτάσεων προγράμματος περιήγησης
Σημαντικά ευρήματα:
- 17 επιβεβαιωμένες παρατάσεις, με επικάλυψη υποδομών και κοινά πρότυπα φορτωτών.
- Πάνω από 840,000 επιπλέον αθροιστικές εγκαταστάσεις σε όλα τα προγράμματα περιήγησης Firefox, Chrome και Edge.
- Κακόβουλη παρουσία που χρονολογείται από το 2020, υποδεικνύοντας μακροπρόθεσμη επιχειρησιακή επιτυχία, παρακάμπτοντας τους ελέγχους ασφαλείας όλων των μεγάλων καταστημάτων περιήγησης.
- Παραλλαγές που χρησιμοποιούν εναλλακτικούς μηχανισμούς παράδοσης, υποδηλώνοντας συνεχή πειραματισμό και προσαρμογή.
Εκτεταμένη Ανάλυση Παραλλαγών: Σταδιοποίηση Φορτίου με Βάση το Σενάριο Υποβάθρου
Πέρα από τις προηγουμένως προσδιορισμένες επεκτάσεις, παρατηρήσαμε μια πιο εξελιγμένη και διακριτική παραλλαγή που σχετίζεται με την ίδια καμπάνια, η οποία από μόνη της αντιπροσώπευε 3,822 εγκαταστάσεις.
Σχήμα 2. Επέκταση Firefox διαθέσιμη για λήψη από το Store.
Σε αυτήν την επανάληψη, η κακόβουλη λογική ενσωματώνεται στο σενάριο φόντου και αξιοποιεί ένα αρχείο εικόνας που περιλαμβάνεται στην επέκταση ως κρυφό κοντέινερ ωφέλιμου φορτίου. Κατά τον χρόνο εκτέλεσης, το σενάριο φόντου ανακτά την εικόνα και σαρώνει την ακατέργαστη ακολουθία byte της για τον οριοθέτη. [62,62,62,62] – που αντιστοιχεί στη συμβολοσειρά ASCII '>>>>'Όλα τα δεδομένα που ακολουθούν αυτόν τον δείκτη αποκωδικοποιούνται ως κείμενο και αποθηκεύονται μόνιμα στο chrome.storage.local με το κλειδί instlogo.
Σχήμα 3. Ανάγνωση περιεχομένου .png, αποκωδικοποίηση και αποθήκευση σε τοπικό χώρο αποθήκευσης.
Τα αποθηκευμένα δεδομένα ανακτώνται αργότερα, αποκωδικοποιούνται σε Base64 και εκτελούνται δυναμικά ως πρόσθετο ωφέλιμο φορτίο JavaScript.
Σχήμα 4. Αποκωδικοποιημένο ωφέλιμο φορτίο .png.
Αυτό το δευτερεύον σενάριο εισάγει περαιτέρω αποφυγή, καθώς αδρανοποιεί για περίπου πέντε ημέρες πριν ξεκινήσει τη δραστηριότητα δικτύου. Μετά την ενεργοποίηση, ανακτά περιεχόμενο από έναν απομακρυσμένο διακομιστή, εξάγει δεδομένα που παρέχονται από τον διακομιστή και είναι αποθηκευμένα ως Κλειδιά με κωδικοποίηση Base64και εκτελεί το αποκωδικοποιημένο περιεχόμενο, επιτρέποντας συνεχείς ενημερώσεις ωφέλιμου φορτίου και εκτεταμένο έλεγχο.
Σχήμα 5. Φόρτιση Png – Ανάγνωση από τοπική αποθήκευση και αποκωδικοποίηση του επόμενου σταδίου.
Αυτή η σταδιακή ροή εκτέλεσης καταδεικνύει μια σαφή εξέλιξη προς μεγαλύτερη αδράνεια, αρθρωσιμότητα και ανθεκτικότητα έναντι τόσο στατικών όσο και συμπεριφορικών μηχανισμών ανίχνευσης.
Επιμονή μετά την κατάργηση
Ενώ η Mozilla και η Microsoft έχουν αφαιρέσει τις γνωστές κακόβουλες επεκτάσεις από τα αντίστοιχα καταστήματά τους, Οι επεκτάσεις που έχουν ήδη εγκατασταθεί στα συστήματα χρηστών παραμένουν ενεργές εκτός εάν αφαιρεθεί ρητά από τον χρήστη. Αυτή η επιμονή υπογραμμίζει τους περιορισμούς των καταργήσεων από καταστήματα ως στρατηγική περιορισμού, ιδιαίτερα για κακόβουλο λογισμικό που χρησιμοποιεί καθυστερημένη ενεργοποίηση και παράδοση αρθρωτού ωφέλιμου φορτίου.
ΔΟΕ
| ID | Όνομα | Εγκαθιστά |
| maiackahflfnegibhinjhpbgeoldeklb |
Αποκοπή στιγμιότυπου οθόνης σελίδας |
86 |
| kjkhljbbodkfgbfnhjfdchkjacdhmeaf |
Πλήρης εικόνα οθόνης |
2,000 |
| ielbkcjohpgmjhoiadncabphkglejgih |
Μετατροπή όλων |
17,171 |
| obocpangfamkffjllmcfnieoacoheda |
Μετάφραση επιλεγμένου κειμένου με την Google |
159,645 |
| dhnibdhcanplpdkcljgmfhbipehkgdkk |
Λήψη Youtube |
11,458 |
| gmciomcaholgmklbfangdjkneihfkddd |
RSS Feed |
2,781 |
| fbobegkkdmmcnmoplkgdmfhdlkjfelnb |
Αποκλεισμός διαφημίσεων Ultimate |
48,078 |
| onlofoccaenllpjmalbnilfacjmcfhfk |
AdBlocker |
10,155 |
| bmmchpeggdipgcobjbkcjiifgjdaodng |
Ενισχυτικό χρώματος |
712 |
| knoibjinlbaolannjalfdjiloaadnknj |
Πλωτός Παίκτης – Λειτουργία PiP |
40,824 |
| jihipmfmicjjpbpmoceapfjmigmemfam |
Μετάφραση με ένα κλειδί |
10,785 |
| ajbkmeegjnmaggkhmibgckapjkohajim |
Δροσερός δρομέας |
2,254 |
| fcoongackakfdmiincikmjgkedcgjkdp |
Μετάφραση Google με δεξί κλικ |
522,398 |
| fmchencccolmmgjmaahfhpglemdcjfll |
Μετάφραση επιλεγμένου κειμένου με δεξί κλικ |
283 |
| ιστορικό-τιμών-amazon |
Ιστορικό τιμών Amazon |
1,197 |
αποθήκευση-εικόνας-στο-pinterest |
Αποθήκευση εικόνας στο Pinterest με δεξί κλικ |
6,517 |
λήψη από το Instagram |
Λήψη Instagram |
3,807 |
TTP
| Τακτική | Τεχνική |
| Αμυντική υπεκφυγή | LX7.011 (T1036) – Μεταμφιέσεις |
| Αμυντική υπεκφυγή | LX7.003 (T1140) – Απομάκρυνση/Απεμπλοκή κώδικα |
| Αμυντική υπεκφυγή | LX7.004 (T1678) – Καθυστέρηση εκτέλεσης |
| Αμυντική υπεκφυγή | LX7.005 – Αποφύγετε τους ελέγχους από την πλευρά του διακομιστή |
| Ανακάλυψη | LX9.005 (T1217) – Ανακάλυψη πληροφοριών προγράμματος περιήγησης |
συστάσεις
Οι επαγγελματίες ασφαλείας, οι υπερασπιστές των επιχειρήσεων και οι προγραμματιστές προγραμμάτων περιήγησης θα πρέπει να προβούν στις ακόλουθες ενέργειες:
- Επεκτάσεις ελέγχου εντός διαχειριζόμενων περιβαλλόντων, ειδικά εκείνων που είναι εγκατεστημένα εκτός των ελέγχων πολιτικής.
- Ανάπτυξη τεχνολογίες παρακολούθησης επεκτάσεων που βασίζονται στη συμπεριφορά για την ανίχνευση μη εξουσιοδοτημένης δραστηριότητας δικτύου ή ύποπτου χειρισμού DOM.
