Domov Blog Tihi prevzem: Kako so kupljene razširitve za Chrome postale orodja za daljinsko upravljanje spletnih strani

Tihi prevzem: Kako so kupljene razširitve za Chrome postale orodja za daljinsko upravljanje spletnih strani

 

Povzetek

Naša preiskava je odkrila usklajeno kampanjo, v kateri se je več razširitev za Chrome – sprva neškodljivih in nepovezanih – preoblikovalo v orodja za vbrizgavanje vsebine na daljavo. Čeprav so se razširitve zdele neškodljive in niso zahtevale posebnih dovoljenj, je bila vsaka spremenjena tako, da je občasno prenašala konfiguracijsko datoteko iz domene, ki jo je nadzoroval napadalec. Ta dinamična pravila so razširitvam omogočala prepisovanje vsebine spletnih strani, vbrizgavanje zunanjega HTML-ja in manipuliranje spletnih mest, ki jih je obiskal uporabnik, ne da bi bilo treba posodobiti spletno trgovino.

Analiza infrastrukture je pokazala, da je bila zlonamerna funkcionalnost razširitev uvedena takoj po prenosu lastništva v spletni trgovini Chrome, vzorec, ki je bil opažen v več primerih. Vzporedno so bile registrirane domene ukazovanja in nadzora (C2), ki se uporabljajo za zagotavljanje oddaljenih navodil malo preden so bile objavljene ogrožene posodobitve, kar kaže na premišljeno pripravo napadalčeve infrastrukture. Konvergenca identične logike vbrizgavanja, skupnih arhitekturnih vzorcev, sinhroniziranih registracij domen in sprememb kode po prevzemu kaže, da so bile te razširitve ogrožene in operacionalizirane kot del usklajena kampanja, podprta z infrastrukturo namesto osamljenih incidentov.

Tehnična analiza

Čeprav je vsaka razširitev predstavljala drugačno neškodljivo funkcijo, je notranja koda izvajala enaka visoko tvegana vedenja. V vseh analiziranih razširitvah je ponavljajoči se skriti mehanizem omogočal oddaljeno, dinamično manipulacijo spletnih strani. V nadaljevanju se bomo osredotočili na zlonamerno vedenje, ki je prisotno v vseh opaženih razširitvah:

  1. Pridobivanje oddaljene konfiguracije

Vsaka razširitev je vsakih 5 minut stopila v stik z zunanjim strežnikom, da bi prenesla novo konfiguracijsko datoteko (config.php ali theme.php).

Ta datoteka je vsebovala navodila, ki so nadzorovala:

  • Na katera spletna mesta ciljati
  • Katere elemente DOM spremeniti
  • Kateri oddaljeni koristni paket vbrizgati

Slika 1. Ujemanje regularnega izraza 'location.href'

Ker te konfiguracije prihajajo iz domen, ki jih nadzorujejo napadalci, je mogoče vedenje razširitve spremeniti v trenutku, brez kakršne koli posodobitve prek spletne trgovine Chrome.

Ta zasnova učinkovito ustvarja kanal za upravljanje in nadzor znotraj brskalnika.

  1. Dinamično vbrizgavanje DOM-a

Prenesena konfiguracija je definirala pravila, kot so:

  • vzorec – regularni izraz za ujemanje ciljnih spletnih mest
  • izbirnik – elementi v DOM-u, ki jih je treba prepisati
  • url – oddaljena končna točka, ki zagotavlja vbrizgan HTML/besedilo
  • attr – lastnost DOM, ki jo je treba zamenjati (npr. innerHTML, src, href)

Slika 2. Zamenjava objekta DOM

Razširitve so uporabile ta pravila za pridobivanje vsebine, ki jo nadzoruje napadalec, in njeno neposredno vstavljanje na spletne strani:

To omogoča oddaljenim strežnikom:

  • Zamenjajte prijavne obrazce
  • Vstavi prekrivne elemente za lažno predstavljanje
  • Spremenite finančne ali nakupovalne strani
  • Vstavljanje oglasov ali sledilnih svetilnikov
  • Spremenite vsebino družbenih medijev

vsi brez opozoril, dovoljenj ali vidnosti uporabnika.

  1. Vztrajna manipulacija prek opazovalcev mutacij

Da bi zagotovili, da spletna stran ne more razveljaviti sprememb, razširitev uporablja MutationObserver. 

To nenehno ponovno uporablja vbrizgano vsebino vsakič, ko se stran posodobi, kar zagotavlja vztrajno in prikrito manipulacijo.

Razširitve imajo skupno arhitekturo, zasnovano tako, da omogoča oddaljenim strežnikom prepiši katero koli spletno stran, ki jo uporabnik obišče, tiho in večkrat. To predstavlja zelo prilagodljiv in nevaren okvir za manipulacijo brskalnika, ki se maskira kot neškodljiva orodja.

Analiza infrastrukture

Naša preiskava je razkrila usklajen ekosistem prenosov lastništva razširitev, hitro omogočene domene ukazov in nadzora (C2) ter sinhronizirane zlonamerne posodobitve, kar so močni kazalniki, da so bile te razširitve ogrožene in operacionalizirane kot del strukturirane kampanje in ne kot posamezni dogodki.

  1. Prenosi lastništva razširitev in orožje po prevzemu

Zgodovinski metapodatki iz spletne trgovine Chrome kažejo dosleden vzorec: razširitve so se dobro obnašale vse do kratkega časa po spremembi lastništva. V več vzorcih smo opazili:

  • Sprememba navedenega lastnika ali razvijalca razširitve tik pred zlonamerno posodobitvijo.
  • V prejšnjih različicah ni dokazov o logiki oddaljene konfiguracije.
  • Nenadna vstavitev:
    • Periodično pridobivanje oddaljenih konfiguracijskih datotek
    • Pravila za prepisovanje DOM-a
    • Klici svetilnika za install.php
    • Podporna koda, ki omogoča trajno manipulacijo vsebine

Uporabniške ocene potrjujejo to časovnico in opažajo nepričakovano vedenje takoj po teh posodobitvah.

To se ujema z znano strategijo v kampanjah za zlorabo razširitev: Akterji groženj kupujejo razširitve z veliko namestitvami in jih naknadno opremljajo z modularnim zlonamernim ogrodjem.

  1.  Časovna povezava med registracijo domene C2 in zlonamernimi posodobitvami

Analiza zapisov WHOIS za infrastrukturo, ki jo uporabljajo razširitve, razkriva presenetljivo časovno korelacijo.

Ključne ugotovitve:

  • Domene so bile registrirane dni do tednov preden so bile objavljene zlonamerne različice razširitev.
  • Zlonamerne posodobitve so začele poizvedovati po teh domenah skoraj takoj po tem, ko so se te povezale s spletom.
  • Domene imajo podobne konvencije poimenovanja in značilnosti infrastrukture, kar kaže na centralizirano zagotavljanje.

Ta vzorec je skladen s tem, da nasprotniki pripravljajo operativno infrastrukturo tik pred aktiviranjem ogroženih razširitev.

  1. Čiste in zlonamerne različice

Primerjave kode med prejšnjimi in novejšimi različicami poudarjajo jasno prelomno točko:

Predkompromisne (benigne) različice

  • Vseboval je samo oglaševano funkcionalnost (npr. urejanje slik, zaznavanje videa, ekstrakcijo DOI).
  • Ni zunanjih konfiguracijskih virov.
  • Brez vbrizgavanja dinamične vsebine.
  • Brez mehanizmov trajnega spremljanja (npr. MutationObservers).
  • Brez API-jev za odpravljanje napak ali prstnih odtisov.

Različice po ogrožanju (zlonamerne)

  • Dodana je zanka za pridobivanje oddaljene konfiguracije (običajno 5-minutno anketiranje).
  • Uvedena je bila manipulacija DOM-a z navodili, ki uporablja pravila, ki se ujemajo z regularnimi izrazi.
  • Vdelan je mehanizem za vbrizgavanje, ki ga je mogoče ponovno uporabiti in ki lahko prepiše poljubno vsebino strani.
  • Integrirani namestitveni oddajniki za telemetrijo nazaj do domen, ki jih nadzorujejo napadalci.

Slika 3. kbaofbaehfbehifbkhplkifihabcicoi pred in po

Razlika močno podpira hipotezo o namerni uporabi orožja po pridobitvi.

  1. Kazalniki skupnega nabora orodij ali enotnega akterja grožnje

Primerjava navzkrižnega raztezanja je razkrila visoko stopnjo strukturne podobnosti:

  • Identični intervali anketiranja (300 sekund).
  • Skoraj identična logika za razčlenjevanje pravil oddaljene konfiguracije.
  • Dosledno poimenovanje polj, kot so pathMatch, selector, applyMethod, resourceLink.
  • Ponavljajoče se oddaljene končne točke (config.php, theme.php, install.php).
  • Podobni vzorci za preprečevanje napak in tiho neuspešni klici funkcije fetch().
  • Ujemajoči se vzorci v tem, kako vbrizgana vsebina nadomešča atribute DOM.
ID razširitve Sprememba lastnika Registracija domen Zlonamerna različica poslana
kbaofbaehfbehifbkhplkifihabcicoi 2025-07-19 2025-07-27 2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif 2025-07-23 2025-08-20 2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh 2025-07-19 2025-08-20 2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj 2025-04-14 2025-08-22 2025-08-26
pgfjnclkpdmocilijgalomiaokgjejdm 2025-07-19 2025-08-13 2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf 2025-09-21 2025-09-23 2025-09-25
ggjlkinaanncojaippgbndimlhcdlohf 2024-09-25 2024-09-30 2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb 2024-12-13 2025-02-03 2025-02-07

Konvergenca med več neodvisno blagovno znamko razširitev nakazuje na enega samega razvijalca zlonamernega ogrodja ali kriminalno storitev, ki ponuja komplet orodij za razširitve in orožje na ključ.

Infrastruktura, časovnice in odnosi v kodni bazi skupaj kažejo na usklajeno delovanje in ne na oportunistično ali nepovezano zlorabo.

Decembrska kampanja 2025

LayerX Security nenehno spremlja primere, v katerih se prej neškodljive razširitve brskalnika razvijejo v zlonamerne. Decembra smo odkrili več dodatnih razširitev, ki so jih objavili isti avtorji in so se preoblikovale v zlonamerno vedenje, kar je razkrilo novo kampanjo, osredotočeno na pretvorbo neškodljivih razširitev v agresivno oglaševalsko programsko opremo.

Razširitve se sprva zdijo neškodljive in izvajajo preprosto funkcionalnost. Vendar pa koda poleg te deklarirane funkcionalnosti pridobi tudi oddaljeno konfiguracijo z zunanjega strežnika. Ta konfiguracija vsebuje seznam domen, na katere razširitev vstavlja zavajajoča obvestila, pri čemer vsaka vsebuje URL, ki pospešuje verigo okužbe.

Slika 4. Pridobljena konfiguracijska datoteka.

Ko uporabnik obišče eno od teh domen, se takoj prikaže zlonamerno obvestilo, ki sproži korak »človeškega preverjanja«.

Slika 5. Lažno obvestilo.

Gumb za preverjanje žrtev preusmeri na zaporedne strani »ni robot«, ki prikazujejo le statične slike, medtem ko v ozadju skript registrira storitvenega delavca, odčita prstne odtise uporabnikove naprave, brskalnika in operacijskega sistema ter te podatke posreduje spletnemu mestu pushtorm.net. Uporabnik je nato pozvan, da odobri dovoljenja za obvestila.

Slika 6. Zahteva za dovoljenje.

Ko je razširitev odobrena, vedno znova prikazuje vsiljive oglase prek istega mehanizma preusmeritve in zlorabe obveščanja, s čimer uporabnika učinkovito izpostavi vztrajnemu in agresivnemu vedenju oglasne programske opreme.

zaključek

Naša analiza razkriva, da te razširitve niso bile osamljeni primeri zlonamernega vedenja, temveč komponente usklajenega in razvijajočega se distribucijskega ogrodja. Čeprav je vsaka razširitev predstavljala drugačno neškodljivo funkcijo, so imele skupen daljinsko voden mehanizem za vbrizgavanje, identično logiko konfiguracije in dosleden 5-minutni cikel anketiranja.

Analiza infrastrukture nadalje kaže, da je bila večina razširitev orožje šele po prenosu lastništva, in domene poveljevanja in nadzora, ki jih je nadzoroval napadalec, so bile registrirano malo pred zlonamernimi posodobitvamiTa tesna povezanost močno kaže na premišljeno, organizirano kampanjo, ki pridobi legitimne razširitve in jih naknadno opremi z modularnim kompletom orodij za vbrizgavanje vsebine.

Te ugotovitve skupaj kažejo na jasen vzorec: skalabilen, centralno upravljan sistem, zasnovan za manipulacijo spletnih strani, uvajanje poljubnih koristnih obremenitev in hiter razvoj brez potrebe po novih posodobitvah spletne trgovine. To poudarja pomembno slepo pego v trenutnih modelih pregledovanja razširitev in poudarja potrebo po močnejšem zaznavanju vedenja pri oddaljeni konfiguraciji in zlorabe razširitev po pridobitvi.

IOC

ID-ji razširitev – trenutno aktivne razširitve

ID Ime Namesti
kbaofbaehfbehifbkhplkifihabcicoi Urejevalnik PhotoExpress 5,000
ijhbioflmfpgfmgapjnojopobfncdeif Razširitev Canva za Chrome | Urejevalnik oblikovanja, umetnosti in umetne inteligence 1,000
nimnhhcainjoacphlmhbkodofenjgobh Ohranjevalnik internetnega arhiva 2,000
jleonlfcaijhkgejhhjfjinedgficgaj Urejevalnik in prenosnik videoposnetkov CapCut 6,000
pgfjnclkpdmocilijgalomiaokgjejdm SnapConnect za Chrome 2,000
jnkmepoonohhfijlbajdphhinhkoefjn Vtičnik za storitve tiskanja HP

 

 1,000
gmmhcbmmnclgmmjimiiefhiagmpamdlb Uredite karkoli - Izboljšajte katero koli stran 780
ooobfpifjkgeopllkalfgkbiefhooggl Blooket Hacker Pro

 

 2,000
cehifnkfcddaeppdajpfldbpommggaca Kahoot heker

 

 1,000
eggegjdejilddmnlglakcaigefefcdaf InteraktivniFiksi

 

 350

ID-ji razširitev – odstranjeni iz razširitev trgovine

ID Ime Namesti
eekibodjacokkihmicbjgdpdfhkjemlf InteraktivniFiksi 3,000
ggjlkinaanncojaippgbndimlhcdlohf PaperPanda – Pridobite milijone raziskovalnih člankov 100,000
ncbknoohfjmcfneopnfkapmkblaenokb Vytal - Spoof časovni pas, geolokacija, lokalna nastavitev in varnost 40,000

Domene in podporna e-poštna sporočila

TTP-ji

Taktika Tehnika
Razvoj virov LX2.001(T1588) - Pridobite zmogljivosti
Dostop s poverilnicami LX8.008 - Vdor v omrežje
Discovery LX9.003 (T1082) - Odkrivanje sistemskih informacij
Poveljevanje in nadzor LX11.004 - Vzpostavitev omrežne povezave
vpliv LX13.004.1 (T1565) - Manipulacija podatkov: Manipulacija vsebine

Sanacija in blaženje

Za uporabnike

  • Odstranite razširitve, ki nalagajo oddaljene konfiguracijske datoteke – vse, kar pridobiva datoteke config.php ali theme.php z neznanih strežnikov, je tvegano.

  • Izogibajte se razširitvam, ki spreminjajo spletno vsebino brez jasne utemeljitve – prepisovanje DOM-a + oddaljena vsebina = visoko tveganje.

  • Dajte prednost znanim razvijalcem z visokim ugledom – izogibajte se »novim«, »neznanim« ali razširitvam z nizkim številom ocen.

  • Dejavnost razširitev za mnenja z uporabo vgrajenih orodij za razširitve v Chromu – poiščite nepričakovane omrežne povezave.

Za varnostne ekipe

  • Zaznaj pogoste artefakte - označi razširitve, ki:

    • Pridobi konfiguracije za oddaljeno vbrizgavanje
    • Uporabite poizvedbe z obhodom predpomnilnika s časovnim žigom
    • Definirajte pravila vbrizgavanja s selektorji in vzorci
    • Agresivno uporabljajte opazovalce mutacij
    • Nepotrebna uporaba API-jev za odpravljanje napak v Chromu

  • Izvedite vedenjsko testiranje peskovnika - spremljajte:

    • Spremembe DOM-a
    • Odhodni omrežni klici
    • Spremenjeni elementi
      Časovna usklajenost oddaljenih konfiguracijskih prenosov

  • Blokiraj znane domene zlonamernih sredstev – Spremljaj domene, povezane s temi družinami razširitev.