Prošlog mjeseca, istraživači u Zaštita koi šarana objavili su detaljnu analizu zlonamjernog proširenja za Firefox koje su nazvali GhostPoster - zlonamjerni softver temeljen na pregledniku koji koristi neuobičajenu i prikrivenu metodu isporuke sadržaja: steganografija unutar PNG datoteke ikoneOvaj inovativni pristup omogućio je zlonamjernom softveru da izbjegne tradicionalne sigurnosne preglede proširenja i alate za statičku analizu.

Nakon njihove objave, naša je istraga utvrdila 17 dodatnih proširenja povezane s istom infrastrukturom i taktikama, tehnikama i postupcima (TTP-ovima). Zajedno su ova proširenja preuzeta preko 840,000 puta, a neki su ostali aktivni u divljini do pet godina.

Tehnički pregled: Višefazno izbjegavanje i dostava korisnog tereta

Zlonamjerni softver GhostPoster koristi višestupanjski lanac infekcije osmišljen za prikrivenost i upornost:

1. Kodiranje korisnog teretaPočetni program za učitavanje ugrađen je u binarne podatke PNG ikone ekstenzije.
2. Ekstrakcija tijekom izvođenja: Nakon instalacije, proširenje analizira ikonu kako bi izdvojilo skrivene podatke, ponašanje koje odstupa od tipične logike proširenja.
3. Odgođena aktivacijaZlonamjerni softver odgađa izvršavanje za 48 sati ili višei inicira C2 komunikaciju samo pod određenim uvjetima.
4. Preuzimanje korisnog teretaIzdvojeni program za učitavanje kontaktira udaljeni C2 poslužitelj kako bi preuzeo dodatne JavaScript-bazirane korisne podatke.
   

Nakon aktivacije, zlonamjerni softver je sposoban:

• Uklanjanje i ubrizgavanje HTTP zaglavlja oslabiti politike web sigurnosti (npr. CSP, HSTS).
• Otimanje prometa s affiliate kanala za monetizaciju.
• Ubrizgavanje iframeova i skripti za prijevare s klikovima i praćenje korisnika.
• Programsko rješavanje CAPTCHA-e i ubrizgavanje dodatnih zlonamjernih skripti za proširenu kontrolu.
  

Ove značajke ukazuju na to da kampanja nije samo financijski motivirana već i tehnički zrela, s naglaskom na operativnu prikrivenost i dugovječnost.

Infrastruktura i atribucija prijetnji

Infrastruktura koju je otkrio Koi Security bila je povezana sa 17 Firefox ekstenzija, a sve su imale slične obrasce zamagljivanja, ponašanje C2-a i strategije odgođenog izvršavanja. Naša automatizirana laboratorijska značajka za zlonamjerni softver za ekstenzije potvrdila je da je ista infrastruktura aktera prijetnje korištena i za distribuciju ekstenzija na Trgovina dodataka za Google Chrome i Microsoft EdgeNaša analiza pokazuje da kampanja nastao u pregledniku Microsoft Edge, s kasnijim proširenjem na Firefox i Chrome.

Slika 1. Prijenos GhostPostera u trgovine ekstenzija preglednika

Ključni pronalasci:

• 17 potvrđenih produženja, s preklapanjem infrastrukture i uobičajenim obrascima učitavanja.
• Više od dodatnih 840,000 kumulativnih instalacija u preglednicima Firefox, Chrome i Edge.
• Zlonamjerna prisutnost koja datira još iz 2020., što ukazuje na dugoročni operativni uspjeh, zaobilazeći sve sigurnosne provjere glavnih trgovina preglednika.
• Varijante koje koriste alternativne mehanizme isporuke, što sugerira kontinuirano eksperimentiranje i prilagodbu.

Proširena analiza varijanti: Priprema korisnog tereta temeljena na pozadinskom skriptu

Osim prethodno identificiranih proširenja, uočili smo sofisticiraniju i izbjegavajuću varijantu povezanu s istom kampanjom, koja je sama po sebi rezultirala s 3,822 instalacija. 

Slika 2. Proširenje za Firefox dostupno za preuzimanje u trgovini.

U ovoj iteraciji, zlonamjerna logika ugrađena je u pozadinsku skriptu i koristi slikovnu datoteku u paketu unutar proširenja kao prikriveni spremnik korisnog tereta. Tijekom izvođenja, pozadinska skripta dohvaća sliku i skenira njezin sirovi niz bajtova za razdjelnik. [62,62,62,62] - odgovara ASCII nizu '>>>>'Svi podaci nakon ove oznake dekodiraju se kao tekst i trajno pohranjuju u chrome.storage.local pod ključem instlogo.

Slika 3. Čitanje .png sadržaja, dekodiranje i spremanje u lokalnu pohranu.

Pohranjeni podaci se kasnije dohvaćaju, dekodiraju Base64 i dinamički izvršavaju kao dodatni JavaScript korisni teret.

Slika 4. Dekodirani .png korisni teret.

Ovaj sekundarni skript uvodi dodatno izbjegavanje tako što miruje otprilike pet dana prije pokretanja mrežne aktivnosti. Nakon aktivacije, dohvaća sadržaj s udaljenog poslužitelja, izdvaja podatke koje je poslužitelj dostavio i pohranjene kao Base64 kodirani ključevii izvršava dekodirani sadržaj, omogućujući kontinuirana ažuriranja korisnog tereta i proširenu kontrolu. 

Slika 5. Png korisni teret - Čitanje iz lokalne pohrane i dekodiranje sljedeće faze.

Ovaj postupni tijek izvršavanja pokazuje jasnu evoluciju prema duljem mirovanju, modularnosti i otpornosti na statičke i bihevioralne mehanizme detekcije.

Ustrajnost nakon uklanjanja

Iako su Mozilla i Microsoft uklonili poznata zlonamjerna proširenja iz svojih trgovina, proširenja koja su već instalirana na korisničkim sustavima ostaju aktivna osim ako ih korisnik izričito ne ukloni. Ova upornost naglašava ograničenja uklanjanja iz trgovine kao strategije suzbijanja, posebno za zlonamjerni softver koji koristi odgođenu aktivaciju i modularnu isporuku sadržaja.

MOK-ovi

TTP-ovi

Preporuke

Sigurnosni stručnjaci, zaštitnici poduzeća i programeri preglednika trebali bi poduzeti sljedeće radnje:

• Proširenja revizije unutar upravljanih okruženja, posebno onih instaliranih izvan kontrola pravila.
• razviti tehnologije praćenja proširenja temeljene na ponašanju za otkrivanje neovlaštene mrežne aktivnosti ili sumnjive manipulacije DOM-om.