Extensões de navegador fora de controle: o alcance total da campanha GhostPoster

 

No mês passado, pesquisadores da Koi Security publicaram uma análise detalhada de uma extensão maliciosa do Firefox que apelidaram de Pôster Fantasma - um malware baseado em navegador que utiliza um método de entrega de carga útil incomum e furtivo: Esteganografia dentro de um arquivo de ícone PNGEssa abordagem inovadora permitiu que o malware burlasse as revisões de segurança de extensões tradicionais e as ferramentas de análise estática.

Após a publicação, nossa investigação identificou 17 extensões adicionais associadas à mesma infraestrutura e táticas, técnicas e procedimentos (TTPs). Coletivamente, essas extensões foram baixadas. mais de 840,000 vezes, com alguns ainda ativos na natureza por até cinco anos.

Visão geral técnica: Evasão em múltiplos estágios e entrega de carga útil

O malware GhostPoster emprega uma cadeia de infecção em múltiplos estágios, projetada para ser furtiva e persistente:

  1. Codificação de carga útilO carregador inicial está incorporado nos dados binários do ícone PNG de uma extensão.
  2. Extração em tempo de execuçãoApós a instalação, a extensão analisa o ícone para extrair os dados ocultos, um comportamento que diverge da lógica típica de extensões.
  3. Ativação atrasadaO malware atrasa a execução por 48 horas ou maise só inicia a comunicação C2 sob condições específicas.
  4. Recuperação de carga útilO carregador extraído contata um servidor C2 remoto para baixar payloads adicionais baseados em JavaScript.

Após a ativação, o malware é capaz de:

  • Remover e inserir cabeçalhos HTTP enfraquecer as políticas de segurança da web (por exemplo, CSP, HSTS).
  • Sequestro de tráfego de afiliados para monetização.
  • Injeção de iframes e scripts para fraude de cliques e rastreamento de usuários.
  • Resolução programática de CAPTCHA e injeção de scripts maliciosos adicionais para controle ampliado.

Essas características indicam que a campanha não é apenas motivada financeiramente, mas também tecnicamente madura, enfatizando o sigilo operacional e a longevidade.

Atribuição de Infraestrutura e Ameaças

A infraestrutura descoberta pela Koi Security estava ligada a 17 extensões do Firefox, todas compartilhando padrões de ofuscação semelhantes, comportamento de comando e controle (C2) e estratégias de execução atrasada. Nosso recurso automatizado de laboratório de malware de extensões confirmou que a mesma infraestrutura do agente de ameaças também foi usada para distribuir extensões no Firefox. Loja de complementos do Google Chrome e do Microsoft EdgeNossa análise mostra a campanha originado no navegador Microsoft Edge, com posterior expansão para Firefox e Chrome.

Figura 1. Upload do GhostPoster para lojas de extensões de navegador

Principais conclusões:

  • 17 prorrogações confirmadas, com sobreposição de infraestrutura e padrões de carregamento comuns.
  • Mais de 840,000 instalações adicionais acumuladas nos navegadores Firefox, Chrome e Edge.
  • Presença maliciosa que remonta a 2020, indicando sucesso operacional a longo prazo, contornando todas as verificações de segurança das principais lojas de navegadores.
  • Variantes que utilizam mecanismos de administração alternativos, sugerindo experimentação e adaptação contínuas.

Análise de variantes estendida: Preparação da carga útil baseada em script de fundo

Além das extensões previamente identificadas, observamos uma variante mais sofisticada e evasiva associada à mesma campanha, que sozinha foi responsável por 3,822 instalações. 

Figura 2. Extensão do Firefox disponível para download na loja.

Nesta iteração, a lógica maliciosa está incorporada no script de segundo plano e utiliza um arquivo de imagem incluído na extensão como um contêiner de carga útil oculto. Em tempo de execução, o script de segundo plano busca a imagem e examina sua sequência de bytes brutos em busca do delimitador. - correspondente à string ASCII '>>>>'Todos os dados que seguem este marcador são decodificados como texto e armazenados permanentemente em chrome.storage.local sob a chave instlogo.

Figura 3. Leitura, decodificação e salvamento do conteúdo de um arquivo .png no armazenamento local.

Os dados armazenados são posteriormente recuperados, decodificados em Base64 e executados dinamicamente como uma carga útil JavaScript adicional.

Figura 4. Carga útil .png decodificada.

Este script secundário introduz uma camada adicional de evasão, permanecendo inativo por aproximadamente cinco dias antes de iniciar a atividade de rede. Após a ativação, ele busca conteúdo de um servidor remoto e extrai dados fornecidos pelo servidor, armazenados como chaves codificadas em Base64e executa o conteúdo decodificado, permitindo atualizações contínuas da carga útil e controle ampliado. 

Figura 5. Carga útil PNG - Leitura do armazenamento local e decodificação do próximo estágio.

Este fluxo de execução em etapas demonstra uma clara evolução em direção a períodos de dormência mais longos, modularidade e resiliência contra mecanismos de detecção estáticos e comportamentais.

Persistência pós-desmantelamento

Embora a Mozilla e a Microsoft tenham removido as extensões maliciosas conhecidas de suas respectivas lojas, As extensões já instaladas nos sistemas dos usuários permanecem ativas. a menos que seja explicitamente removido pelo usuário. Essa persistência ressalta as limitações da remoção de aplicativos da loja como estratégia de contenção, principalmente para malwares que utilizam ativação retardada e entrega modular de payloads.

IOCs

ID Nome Instalação
maiackahflfnegibhinjhpbgeoldeklb

Recortador de Captura de Tela da Página

86
kjkhljbbodkfgbfnhjfdchkjacdhmeaf

Captura de tela da página inteira

2,000
ielbkcjohpgmjhoiadncabphkglejgih

Converter tudo

17,171
obocpangfamkffjllmcfnieeoacoheda

Traduzir texto selecionado com o Google

159,645
dhnibdhcanplpdkcljgmfhbipehkgdkk

Baixar do YouTube

11,458
gmciomcaholgmklbfangdjkneihfkddd

RSS feed

2,781
fbobegkkdmmcnmoplkgdmfhdlkjfelnb

Ads Block Ultimate

48,078
onlofoccaenllpjmalbnilfacjmcfhfk

AdBlocker

10,155
bmmchpeggdipgcobjbkcjiifgjdaodng

Intensificador de cor

712
knoibjinlbaolannjalfdjiloaadnknj

Jogador Flutuante - Modo PiP

40,824
jihipmfmicjjpbpmoceapfjmigmemfam

Tradução com uma tecla

10,785
ajbkmeegjnmaggkhmibgckapjkohajim

Cursor legal

2,254
fcoongackakfdmiincikmjgkedcgjkdp

Tradutor do Google ao clicar com o botão direito do mouse

522,398
fmchencccolmmgjmaahfhpglemdcjfll

Traduzir o texto selecionado clicando com o botão direito do mouse

283
histórico de preços da Amazon

Histórico de preços da Amazon

1,197

salvar-imagem-no-pinterest

Salvar imagem no Pinterest clicando com o botão direito do mouse

6,517

download do Instagram

Instagram Downloader

3,807

TTP

Tática Técnica
Evasão de Defesa LX7.011 (T1036) - Mascaramento
Evasão de Defesa LX7.003 (T1140) - Ofuscação/Desofuscação de Código
Evasão de Defesa LX7.004 (T1678) - Atrasar a execução
Evasão de Defesa LX7.005 - Evitar verificações do lado do servidor
Discovery LX9.005 (T1217) - Descoberta de informações do navegador

Recomendações

Profissionais de segurança, defensores corporativos e desenvolvedores de navegadores devem tomar as seguintes medidas:

  • Extensões de auditoria Em ambientes gerenciados, especialmente aqueles instalados fora dos controles de política.
  • Implementar tecnologias de monitoramento de extensão baseadas em comportamento Para detectar atividades de rede não autorizadas ou manipulação suspeita do DOM.