Οι εγκληματίες του κυβερνοχώρου έχουν διανείμει 17 κακόβουλες επεκτάσεις προγράμματος περιήγησης σε πλατφόρμες Chrome, Firefox και Edge, συλλογικά κατεβάζοντας πάνω από 840.000 φορές και θέτοντας σε κίνδυνο την ασφάλεια των χρηστών για χρόνια.
Η καμπάνια GhostPoster, η οποία εμφανίστηκε ήδη από το 2020, χρησιμοποίησε παραπλανητικά ονόματα επεκτάσεων όπως «Μετάφραση Google με δεξί κλικ», «Λήψη YouTube» και «Αποκλεισμός διαφημίσεων Ultimate» για να φαίνεται νόμιμη ενώ κλέβει αθόρυβα ευαίσθητες πληροφορίες χρήστη.
Αυτές οι επεκτάσεις παρέκαμψαν επιτυχώς τις αξιολογήσεις ασφαλείας από μεγάλα καταστήματα προγραμμάτων περιήγησης, παραμένοντας ενεργές για έως και πέντε χρόνια πριν ανακαλυφθούν.
Η τεράστια κλίμακα των εγκαταστάσεων καταδεικνύει την αποτελεσματικότητα αυτής της επίθεσης και τη δυσκολία που αντιμετωπίζουν οι χρήστες να διακρίνουν τις αξιόπιστες επεκτάσεις από τους επικίνδυνους απατεώνες.
.webp.jpeg "17 νέες κακόβουλες επεκτάσεις GhostPoster του Chrome με 840.000+ εγκαταστάσεις κλέβουν δεδομένα χρήστη")
Η επίθεση εκμεταλλεύεται μια θεμελιώδη αδυναμία στην ασφάλεια του προγράμματος περιήγησης: οι χρήστες εμπιστεύονται τις επεκτάσεις που εμφανίζονται σε επίσημα καταστήματα.
Οι κακόβουλες επεκτάσεις χρησιμοποιούσαν τη στεγανογραφία για να κρύψουν κακόβουλο κώδικα μέσα σε αρχεία εικόνας PNG, μια τεχνική που αποκρύπτει δεδομένα σε κοινή θέα.
Μόλις εγκατασταθούν, οι επεκτάσεις εξάγουν το κρυφό ωφέλιμο φορτίο και δημιουργούν επικοινωνία με διακομιστές που ελέγχονται από εισβολείς για τη λήψη πρόσθετων κακόβουλων σεναρίων.
Στη συνέχεια, το κακόβουλο λογισμικό εκτελεί πολλές επιβλαβείς ενέργειες, συμπεριλαμβανομένης της πειρατείας συνδέσμων συνεργατών για οικονομικό όφελος, της εισαγωγής σεναρίων για την παρακολούθηση της συμπεριφοράς των χρηστών, του χειρισμού των κεφαλίδων HTTP για την απενεργοποίηση των προστασιών ασφαλείας και της κλοπής διαπιστευτηρίων και προσωπικών δεδομένων.
.webp.jpeg "17 νέες κακόβουλες επεκτάσεις GhostPoster του Chrome με 840.000+ εγκαταστάσεις κλέβουν δεδομένα χρήστη")
Η πολυπλοκότητα αυτών των τακτικών δείχνει ότι δεν πρόκειται για ευκαιριακό κακόβουλο λογισμικό, αλλά για μια καλά σχεδιασμένη λειτουργία που στοχεύει το οικονομικό κέρδος και τη διαρκή πρόσβαση στις συσκευές των χρηστών.
Αναλυτές ασφαλείας LayerX αναγνωρισθείς το πλήρες εύρος της καμπάνιας αφού η Koi Security ανακάλυψε αρχικά μια κακόβουλη επέκταση Firefox.
Η έρευνά τους αποκάλυψε τη διασυνδεδεμένη υποδομή που συνδέει και τις 17 επεκτάσεις, αποκαλύπτοντας ότι δεν επρόκειτο για μεμονωμένα περιστατικά αλλά μέρος μιας συντονισμένης προσπάθειας.
Τεχνικές που χρησιμοποιούνται
Η έρευνα αποκάλυψε πώς ο παράγοντας απειλής επεκτάθηκε συστηματικά από τον Microsoft Edge στον Firefox και στη συνέχεια στον Chrome, προσαρμόζοντας τις τεχνικές του ώστε να ταιριάζουν στις απαιτήσεις ασφαλείας κάθε πλατφόρμας.
Ο εξελιγμένος μηχανισμός μόλυνσης του κακόβουλου λογισμικού βασίζεται στην καθυστερημένη εκτέλεση για να αποφύγει τον εντοπισμό.
.webp.jpeg "17 νέες κακόβουλες επεκτάσεις GhostPoster του Chrome με 840.000+ εγκαταστάσεις κλέβουν δεδομένα χρήστη")
Όταν εγκατασταθεί, η επέκταση περιμένει 48 ώρες ή περισσότερο πριν ενεργοποιηθεί, επιτρέποντάς της να περάσει από τη σάρωση ασφαλείας κατά την αρχική αναθεώρηση.
Οι πιο προηγμένες παραλλαγές περιμένουν έως και πέντε ημέρες πριν συνδεθούν σε απομακρυσμένους διακομιστές, δημιουργώντας ένα παράθυρο όπου το κακόβουλο λογισμικό λειτουργεί ενώ τα εργαλεία εντοπισμού παραμένουν ανενεργά.
Ο κακόβουλος κώδικας παραμένει ενσωματωμένος στο σενάριο παρασκηνίου της επέκτασης και χρησιμοποιεί κρυπτογραφημένα ωφέλιμα φορτία που αποκωδικοποιούνται μόνο κατά το χρόνο εκτέλεσης, καθιστώντας τη στατική ανάλυση σχεδόν αδύνατη και διασφαλίζοντας ότι η απειλή παραμένει κρυφή έως ότου ενεργοποιηθεί πλήρως σε μηχανήματα-θύμα.
