Akamai kjøper opp LayerX, og leverer komplett sikkerhet og sanntidskontroll av AI-bruk.

Finn ut mer

Nettleserutvidelser Gone Rogue: Hele omfanget av GhostPoster-kampanjen

 

Forrige måned, forskere ved Koi-sikkerhet publiserte en detaljert analyse av en ondsinnet Firefox-utvidelse de kalte Spøkelsesplakat – en nettleserbasert skadevare som utnytter en uvanlig og skjult metode for levering av nyttelast: steganografi i en PNG-ikonfilDenne innovative tilnærmingen tillot skadevaren å omgå tradisjonelle sikkerhetsgjennomganger av utvidelser og verktøy for statisk analyse.

Etter publiseringen identifiserte vår undersøkelse 17 ekstra utvidelser tilknyttet den samme infrastrukturen og taktikkene, teknikkene og prosedyrene (TTP-er). Samlet sett ble disse utvidelsene lastet ned over 840,000 ganger, med noen som fortsatt er aktive i naturen i opptil fem år.

Teknisk oversikt: Flertrinns unnvikelse og levering av nyttelast

GhostPoster-skadevaren bruker en flertrinns infeksjonskjede designet for stealth og utholdenhet:

  1. NyttelastkodingDen første lasteren er innebygd i binærdataene til PNG-ikonet til en utvidelse.
  2. KjøretidsutvinningVed installasjon analyserer utvidelsen ikonet for å trekke ut de skjulte dataene, en oppførsel som avviker fra typisk utvidelseslogikk.
  3. Forsinket aktiveringSkadevaren forsinker kjøringen av 48 timer eller mer, og initierer bare C2-kommunikasjon under spesifikke forhold.
  4. Henting av nyttelastDen utpakkede lasteren kontakter en ekstern C2-server for å laste ned ytterligere JavaScript-baserte nyttelaster.

Etter aktivering er skadevaren i stand til å:

  • Stripping og injisering av HTTP-headere å svekke retningslinjer for nettsikkerhet (f.eks. CSP, HSTS).
  • Kapring av affiliate-trafikk for inntektsgenerering.
  • Injisering av iframes og skript for klikksvindel og brukersporing.
  • Programmatisk CAPTCHA-løsning og injeksjon av ytterligere ondsinnede skript for utvidet kontroll.

Disse trekkene indikerer at kampanjen ikke bare er økonomisk motivert, men også teknisk moden, med vekt på operativ stealth og lang levetid.

Infrastruktur og trusselattribusjon

Infrastrukturen som ble avdekket av Koi Security var koblet til 17 Firefox-utvidelser, som alle delte lignende obfuskasjonsmønstre, C2-oppførsel og strategier for forsinket utførelse. Vår automatiserte Extension-laboratoriefunksjon for skadelig programvare bekreftet at den samme trusselaktørinfrastrukturen også ble brukt til å distribuere utvidelser på Google Chrome og Microsoft Edge tilleggsbutikkAnalysen vår viser kampanjen stammer fra Microsoft Edge-nettleseren, med senere utvidelse til Firefox og Chrome.

Figur 1. GhostPoster-opplasting til nettleserutvidelsesbutikker

Hovedfunnene:

  • 17 bekreftede forlengelser, med overlappende infrastruktur og vanlige lastemønstre.
  • Over ytterligere 840 000 kumulative installasjoner på tvers av nettlesere som Firefox, Chrome og Edge.
  • Ondsinnet tilstedeværelse som dateres tilbake til 2020, noe som indikerer langsiktig driftssuksess, og omgår alle sikkerhetskontroller i større nettleserbutikker.
  • Varianter som bruker alternative leveringsmekanismer, noe som tyder på kontinuerlig eksperimentering og tilpasning.

Utvidet variantanalyse: Bakgrunnsskriptbasert nyttelaststaging

Utover de tidligere identifiserte utvidelsene observerte vi en mer sofistikert og unnvikende variant knyttet til den samme kampanjen, som alene sto for 3,822 installasjoner. 

Figur 2. Firefox-utvidelsen er tilgjengelig for nedlasting i butikken.

I denne iterasjonen er den ondsinnede logikken innebygd i bakgrunnsskriptet og utnytter en bildefil som er samlet i utvidelsen som en skjult nyttelastbeholder. Ved kjøretid henter bakgrunnsskriptet bildet og skanner den rå bytesekvensen for skilletegnet. [62,62,62,62] - tilsvarende ASCII-strengen '>>>>'Alle data som følger denne markøren dekodes som tekst og lagres permanent i chrome.storage.local under nøkkelen instlogo.

Figur 3. Lesing av .png-innhold, dekoding og lagring i lokal lagring.

De lagrede dataene hentes senere, Base64-dekodes og kjøres dynamisk som en ekstra JavaScript-nyttelast.

Figur 4. Dekodet .png-nyttelast.

Dette sekundære skriptet introduserer ytterligere unnvikelse ved å sove i omtrent fem dager før nettverksaktivitet starter. Ved aktivering henter det innhold fra en ekstern server, trekker ut serverleverte data lagret som Base64-kodede nøkler, og kjører det dekodede innholdet, noe som muliggjør kontinuerlige oppdateringer av nyttelasten og utvidet kontroll. 

Figur 5. Png-nyttelast – lesing fra lokal lagring og dekoding av neste trinn.

Denne trinnvise utførelsesflyten viser en klar utvikling mot lengre dvale, modularitet og motstandskraft mot både statiske og atferdsmessige deteksjonsmekanismer.

Persistens etter fjerning

Selv om Mozilla og Microsoft har fjernet de kjente skadelige utvidelsene fra sine respektive butikker, Utvidelser som allerede er installert på brukersystemer forblir aktive med mindre brukeren eksplisitt fjerner det. Denne vedvarende opplevelsen understreker begrensningene ved fjerning av filer fra butikken som en inneslutningsstrategi, spesielt for skadelig programvare som bruker forsinket aktivering og modulær levering av nyttelast.

IOC

ID Navn installasjoner
maiackahflfnegibhinjhpbgeoldeklb

Sideskjermklipper

86
kjkhljbbodkfgbfnhjfdchkjacdhmeaf

Full side skjermbilde

2,000
ielbkcjohpgmjhoiadncabphkglejgih

Konverter alt

17,171
obocpangfamkffjllmcfnieeoacoheda

Oversett valgt tekst med Google

159,645
dhnibdhcanplpdkcljgmfhbipehkgdkk

YouTube-nedlasting

11,458
gmciomcaholgmklbfangdjkneihfkddd

RSS-feed

2,781
fbobegkkdmmcnmoplkgdmfhdlkjfelnb

Annonseblokkering Ultimate

48,078
onlofoccaenllpjmalbnilfacjmcfhfk

AdBlocker

10,155
bmmchpeggdipgcobjbkcjiifgjdaodng

Fargeforsterker

712
knoibjinlbaolannjalfdjiloaadnknj

Flytende spiller – PiP-modus

40,824
jihipmfmicjjpbpmoceapfjmigmemfam

Én nøkkeloversettelse

10,785
ajbkmeegjnmaggkhmibgckapjkohajim

Kul markør

2,254
fcoongackakfdmiincikmjgkedcgjkdp

Google Oversett med høyreklikk

522,398
fmchencccolmmgjmaahfhpglemdcjfll

Oversett valgt tekst med høyreklikk

283
Amazon-prishistorikk

Amazon-prishistorikk

1,197

lagre-bilde-til-Pinterest

Lagre bilde på Pinterest med høyreklikk

6,517

Instagram-nedlasting

Instagram-nedlasting

3,807

TTP-er

taktikk Teknikk
Forsvarsunndragelse LX7.011 (T1036) - Maskerad
Forsvarsunndragelse LX7.003 (T1140) - Kodeforvirring/deforvirring
Forsvarsunndragelse LX7.004 (T1678) - Forsinket utførelse
Forsvarsunndragelse LX7.005 - Unngå kontroller på serversiden
Discovery LX9.005 (T1217) - Oppdaging av nettleserinformasjon

Anbefalinger

Sikkerhetseksperter, bedriftsforsvarere og nettleserutviklere bør gjøre følgende:

  • Revisjonsutvidelser i administrerte miljøer, spesielt de som er installert utenfor policykontroller.
  • Distribuer atferdsbaserte teknologier for utvidelsesovervåking for å oppdage uautorisert nettverksaktivitet eller mistenkelig DOM-manipulasjon.