Нападите GhostPoster кријат малициозен JavaScript во логата на Firefox додатоци

Нова кампања наречена „GhostPoster“ крие JavaScript код во сликата-лого на злонамерни Firefox екстензии со повеќе од 50.000 преземања, со цел да ја следи активноста на прелистувачот и да постави задна врата (backdoor).

Малициозниот код им обезбедува на операторите постојан пристап со високи привилегии до прелистувачот, овозможувајќи им да киднапираат affiliate линкови, да вбризгуваат код за следење и да вршат измами со кликови и реклами.

Скриената скрипта функционира како loader кој го презема главниот payload од оддалечен сервер. За да се отежне откривањето, payload-от намерно се презема само во еден од десет обиди.

Истражувачите од Koi Security ја откриле кампањата GhostPoster и идентификувале 17 компромитирани Firefox екстензии кои или го читаат PNG-логото за да го извлечат и извршат loader-от, или директно го преземаат главниот payload од серверот на напаѓачот.

Треба да се напомене дека злонамерните екстензии припаѓаат на популарни категории:

• free-vpn-forever
• screenshot-saved-easy
• weather-best-forecast
• crxmouse-gesture
• cache-fast-site-loader
• freemp3downloader
• google-translate-right-clicks
• google-traductor-esp
• world-wide-vpn
• dark-reader-for-ff
• translator-gbbd
• i-like-weather
• google-translate-pro-extension
• 谷歌-翻译
• libretv-watch-free-videos
• ad-stop
• right-click-google-translate

Истражувачите велат дека не сите екстензии ја користат истата верига за вчитување на payload-от, но сите покажуваат исто однесување и комуницираат со истата инфраструктура.

Екстензијата FreeVPN Forever била првата што ја анализирала Koi Security, откако нивната AI алатка ја означила поради обработка на суровите бајтови од сликата-лого, со цел да се пронајде JavaScript фрагмент скриен со техниката стеганографија.

JavaScript loader-от се активира по 48 часа за да преземе payload од хардкодирана домена. Достапна е и втора резервна домена доколку payload-от не биде преземен од првата.

Според Koi Security, loader-от е најчесто неактивен и го презема payload-от само во 10% од случаите, што ја зголемува веројатноста да го избегне откривањето од алатките за мониторинг на сообраќајот.

Преземениот payload е силно обфусциран преку менување на големи и мали букви (case swapping) и base64 енкодирање. Потоа, шифра го декодира и го XOR-енкриптира користејќи клуч изведен од runtime ID-то на екстензијата.

Крајниот payload има следниве можности:

• Киднапирање на affiliate линкови на големи е-комерц сајтови, пренасочувајќи комисиите кон напаѓачите.
• Вбризгување на Google Analytics следење на секоја страница што ја посетува корисникот.
• Отстранување на безбедносни headers од сите HTTP одговори.
• Заобиколување на CAPTCHA преку три различни механизми за да се избегнат заштитите против ботови.
• Вметнување невидливи iframes за измами со реклами, клик-измами и следење, кои се самоуништуваат по 15 секунди.

Иако малициозниот софтвер не краде лозинки и не пренасочува корисници кон phishing страници, сепак претставува закана за приватноста на корисниците.

Понатаму, поради стелт loader-от што го користи GhostPoster, кампањата би можела да стане многу поопасна ако операторот одлучи да имплементира поштетен payload.

Се препорачува корисниците на наведените екстензии да ги отстранат и да размислат за ресетирање на лозинките за критичните акаунти.

Многу од злонамерните екстензии сè уште биле достапни на страницата на Firefox Add-Ons во моментот на пишувањето на текстот. BleepingComputer стапил во контакт со Mozilla, а нивен портпарол споделил следниот коментар:

“Безбедноста на корисниците е нешто што секогаш сме го приоретизирале и го земаме многу сериозно. Нашиот тим за екстензии го истражил овој извештај и како резултат преземавме мерки за отстранување на сите овие екстензии од AMO. Ги ажуриравме нашите автоматизирани системи за да откриваат и блокираат екстензии кои користат слични напади, сега и во иднина. Продолжуваме да ги подобруваме нашите системи како што се појавуваат нови напади.” – Портпарол на Mozilla

Извори:

• Bleeping Computer – GhostPoster attacks hide malicious JavaScript in Firefox addon logos Bleeping Computer