Rozšírenia prehliadača sa stali každodenným nástrojom pre milióny používateľov, ktorí chcú Zlepšite si používateľský zážitok v prehliadačoch Chrome, Firefox alebo Edge.Používajú sa na preklad webových stránok, blokovanie reklám, správu hesiel alebo zrýchlenie prehliadania a zvyčajne sa inštalujú len niekoľkými kliknutiami z oficiálnych obchodov s aplikáciami. Práve kvôli tomuto pohodliu si veľa ľudí sotva overí, kto stojí za každým doplnkom alebo aké povolenia požaduje.
Toto prehliadnutie otvára dvere kyberzločincom k používaniu rozšírení ako tichý kanál na špionáž a krádež údajovNedávna kampaň s názvom GhostPoster jasne ukázala, aký nebezpečný je tento vektor: podvodné rozšírenia sa integrujú, akoby boli legitímne, fungujú zdanlivo normálne a môžu zostať aktívne roky bez toho, aby vzbudzovali podozrenie, pričom monitorujú aktivitu používateľov.
Čo je kampaň GhostPoster a prečo je znepokojujúca?
Vyšetrovania viacerých firiem zaoberajúcich sa kybernetickou bezpečnosťou vrátane KOI a LayerXOdhalili rozsiahlu operáciu, ktorá zneužíva oficiálne obchody s rozšíreniami prehliadačov Mozilla Firefox, Google Chrome a Microsoft Edge. V rámci kampane GhostPoster boli identifikované desiatky doplnkov, ktoré spolu... Presahujú 840 000 inštalácií celosvetovo, čo je údaj, ktorý poskytuje predstavu o rozsahu problému.
Tieto škodlivé rozšírenia sú maskované ako bežné nástroje: Prekladače stránok, blokovače reklám, takzvané VPN alebo nástroje na správu sťahovaných súborov. Po nainštalovaní bežia na pozadí, monitorujú, čo obeť robí v prehliadači, pristupujú k údajom o prehliadaní a v niektorých prípadoch umožňujú zadné dvere, ktoré umožňujú diaľkové ovládanie zariadenia.
Obzvlášť znepokojujúce je, že mnohé z týchto rozšírení sú už dlho dostupné v oficiálnych katalógoch, čo znamená, že Prešli filtrami recenzií v obchode Chrome Internet Store, doplnkoch pre Firefox a obchode Edge.Podľa zverejnených analýz niektoré fungujú od roku 2020, čo umožnilo kampani zostať aktívnou trvalo udržateľným spôsobom a bez väčších narušení.
V rámci GhostPosteru odborníci tiež identifikovali pokročilejší a úhybnejší variant ktorá sama o sebe dosiahla viac ako 3 800 inštalácií. Táto vetva vyniká svojou schopnosťou obchádzať kontroly a splynúť so zdanlivo legitímnymi rozšíreniami, čo používateľom ešte viac sťažuje uvedomenie si, že niečo nie je v poriadku.
Ako fungujú škodlivé rozšírenia za GhostPosterom
Rozšírenia prehliadača, či už pre Chrome, Firefox alebo Edge, sú hlboko integrované so softvérom a môžu čítať a upravovať obsah webových stránokPatria sem prístup k súborom cookie, história prehliadania a v niektorých prípadoch aj interakcia s operačným systémom. Keď je rozšírenie dobre navrhnuté, toto všetko slúži na poskytovanie užitočných funkcií; keď je škodlivé, ten istý prístup sa stáva pre útočníkov presnou zbraňou.
V prípade GhostPosteru je kľúčové, že škodlivá zložka je starostlivo utajená. Vyšetrovania naznačujú, že tí, ktorí sú za kampaň zodpovední Skrývajú časť kódu JavaScript vo vnútri obrázka PNG ikony rozšírenia.Táto technika, známa ako steganografia, umožňuje maskovať informácie v zdanlivo neškodných súboroch, takže na prvý pohľad je vidieť iba bežné logo, ale vo vnútri sa nachádza kód, ktorý sa neskôr vykoná.
Tento skrytý kód sa aktivuje po nainštalovaní rozšírenia a je zodpovedný za špehovať aktivitu používateľov v reálnom časeDokáže zaznamenávať, ktoré stránky sú navštívené, ktoré formuláre sú vyplnené alebo ktoré služby sú používané, ako aj zachytávať citlivé informácie, ako sú prihlasovacie údaje alebo tokeny relácie. V určitých prípadoch tiež stiahne ďalšie moduly, ktoré nakoniec... otvoriť zadné vrátka v postihnutom zariadení, čo útočníkom umožňuje pripojiť sa na diaľku.
Pomocou steganografie kyberzločinci spôsobujú, že škodlivá zložka zostane počas automatizovaných kontrol úložísk s rozšíreniami relatívne nepovšimnutá. Analytické systémy zvyčajne kontrolujú viditeľný kód a deklarované správanieMožno však nedokážu odhaliť, že skutočné jadro útoku je skryté v jednoduchom obrázku. Tento prístup zvyšuje ťažkosti pre platformy, ktoré sa snažia obmedziť distribúciu podvodných doplnkov.
Doplnky prepojené s GhostPosterom navyše celkom verne napodobňujú funkcie legitímnych nástrojov, o ktorých sa tvrdia, že sa podobajú. Ponúkajú napríklad preklad stránok alebo základné blokovanie reklám, čo posilňuje pocit normálnosti. Pokiaľ si používateľ myslí, že používa užitočné rozšírenie, V pozadí sa generuje neustály tok informácií smerom k serverom ovládaným útočníkom..
Úloha KOI a LayerX pri objavení kampane
Škandál s GhostPosterom sa nestal zo dňa na deň. Počas decembra analytici z bezpečnostnej firmy KOI Zistili počiatočnú skupinu 17 škodlivých rozšírení publikovaných v oficiálnom obchode Mozilla Firefox. Všetky sa zameriavali na používateľov hľadajúcich bežné nástroje a spolu mali viac ako 50 000 stiahnutí.
Krátko nato spoločnosť LayerX zaoberajúca sa kybernetickou bezpečnosťou pokračovala vo vyšetrovaní a lokalizovala ďalší balíček 17 podobných doplnkov distribuované prostredníctvom katalógov Microsoft Edge a Google Chrome. S týmito novými detekciami celkový počet inštalácií spojených s GhostPosterom prudko vzrástol na viac ako 840 000 v troch prehliadačoch, čím sa z kampane stala kampaň s významným globálnym dopadom.
Zverejnené správy podrobne uvádzajú, že Všetky tieto rozšírenia zdieľali vzorce správania a veľmi podobné technické štruktúry, čo viedlo k záveru, že boli súčasťou tej istej koordinovanej schémy. Medzi identifikovanými cieľmi bolo monitorovanie navigácie v reálnom čase, hromadný zber údajov a tiché zavedenie zadných vrátok do zariadenia.
Počas analýzy KOI a LayerX zdôraznili, že operácia GhostPoster nie je ojedinelý incident, ale skôr príklad... stratégia udržiavaná niekoľko rokov zneužiť ekosystém rozšírení. Výskumníci zdôrazňujú, že kombinácia veľkého objemu inštalácií a neskorej detekcie umožnila útočníkom udržiavať svoje aktívne kampane s dostatočným priestorom na manévrovanie.
Podľa odborníkov čelia samotní dodávatelia prehliadačov zložitej úlohe: odhaliť škodlivé nástroje, ktoré napodobňujú populárne službyHoci existujú automatizované kontroly a procesy kontroly, skúsenosti ukazujú, že nie vždy postačujú na zastavenie rozšírení, ktoré používajú pokročilé taktiky skrývania, ako sú tie, ktoré sa vyskytujú v GhostPoster.
Kto za tým stojí: skupina Darkspectre a ich predchádzajúce kampane
Vyšetrovanie poukazuje na známeho hráča v oblasti kybernetickej bezpečnosti: Temný duchTáto skupina už roky používa rozšírenia prehliadača na distribúciu malvéru a je zodpovedná za predchádzajúce operácie, ako napríklad ShadyPanda a The Zoom Stealer, ktoré zdieľajú technické zdroje a infraštruktúru so spoločnosťou GhostPoster.
Podľa zozbieraných údajov Darkspectre časom zdokonaľoval svoju taktiku. Už predchádzajúce kampane prejavovali osobitný záujem o infiltráciu cez zdanlivo dôveryhodné kanály., ako napríklad oficiálne obchody s príslušenstvom. GhostPoster by v tomto zmysle bol vývojom pracovnej oblasti, ktorá sa snaží maximalizovať dosah bez toho, aby okamžite vyvolala poplach.
LayerX vysvetľuje, že sledovanie infraštruktúry používanej v GhostPoster, ShadyPanda a The Zoom Stealer umožnilo zdokumentovať technický vývoj týchto hroziebVýskumníci pozorovali, ako sa domény, servery a fragmenty kódu opätovne používajú pri rôznych útokoch, pričom prispôsobili nástroje bezpečnostným opatreniam implementovaným platformami.
Jedným z faktorov, ktoré najviac znepokojujú bezpečnostné firmy, je to, že Niektoré rozšírenia prepojené s Darkspectre údajne zostali aktívne od roku 2020. bez toho, aby boli odhalení. Táto pretrvávajúca prítomnosť zdôrazňuje sofistikovanosť útočníkov aj obmedzenia automatizovaných kontrolných systémov, ktoré nie vždy dokážu identifikovať škodlivé vzorce, keď sú skryté v nezvyčajných komponentoch, ako sú napríklad grafické ikony.
Správy tiež naznačujú, že z prevádzkového hľadiska GhostPoster sa spolieha na vysoko prepracované techniky únikuMedzi tieto opatrenia patrí oneskorené načítanie komponentov, aktivácia iba za špecifických navigačných podmienok a používanie diskrétnej komunikácie so servermi velenia a riadenia. Všetky tieto opatrenia prispievajú k zníženiu hluku a čo najdlhšej neviditeľnosti na radaroch.
Rozšírenia, čoraz bežnejší vektor útoku
Okrem GhostPosteru odborníci už dlho varujú, že rozšírenia sú opakujúci sa cieľ kybernetických zločincovIch popularita a dôvera, ktorú si vytvárajú tým, že údajne pochádzajú z oficiálnych obchodov, z nich robia ideálny kanál na prepašovanie škodlivého softvéru bez toho, aby používateľ niečo tušil.
V mnohých prípadoch si obete sťahujú tieto doplnky, pretože Sľubujú atraktívne a bezplatné funkcieTieto rozšírenia vám môžu pomôcť: odstrániť rušivé reklamy, zlepšiť súkromie, zrýchliť prehliadač alebo automatizovať opakujúce sa úlohy. Problém je v tom, že po udelení povolení môže rozšírenie pristupovať k značnému množstvu informácií bez toho, aby muselo znova žiadať o autorizáciu.
Kampane ako GhostPoster ukazujú, že aj keď rozšírenie splní niektoré zo svojich sľubov, môže vykonávať tajné aktivityInými slovami, doplnok môže blokovať reklamy alebo normálne prekladať stránky, ale zároveň zhromažďovať údaje o prehliadaní, zachytávať prihlasovacie údaje alebo komunikovať s externými servermi a sťahovať nové pokyny.
Použitie techník, ako je steganografia obrázkov alebo vykonávanie obfuskovaného kódu, výrazne sťažuje úlohu analýzy. Tradičné bezpečnostné systémy majú tendenciu hľadať známe vzoryKeď sa však škodlivý kód skrýva v grafických súboroch alebo je distribuovaný v malých častiach medzi rôzne komponenty, identifikácia sa stáva oveľa komplikovanejšou.
Tento scenár núti vývojárov prehliadačov aj samotné obchody s rozšíreniami posilniť overovacie mechanizmyOdborníci poukazujú na to, že bude potrebné kombinovať hlbšiu automatizovanú analýzu, manuálne audity a dôkladnejšie monitorovanie skutočného správania rozšírení po ich publikovaní, najmä tých, ktoré dosiahnu vysoký počet inštalácií v krátkom čase.
Dopad na používateľov v Európe a základné odporúčania
Kampaň GhostPoster má globálny dosah, ale Ovplyvňuje to aj používateľov v Španielsku a zvyšku Európy.V Spojenom kráľovstve sa Chrome, Firefox a Edge používajú takmer vo všetkých prehliadačoch v domácom aj profesionálnom prostredí. Každý, kto si v posledných rokoch nainštaloval rozšírenia na preklad, blokovače reklám alebo VPN, mohol byť vystavený riziku, ak bol daný doplnok na zozname škodlivých programov.
Európske orgány a zásahové tímy používajú správy od spoločností ako KOI a LayerX ako referenciu pre aktualizujte svoje upozornenia a štandardy počítačovej bezpečnostiVšeobecným odporúčaním je pravidelne kontrolovať nainštalované rozšírenia a odinštalovať tie, ktoré sa už nepoužívajú alebo ktorých pôvod nie je jasný. Nie je nezvyčajné, že sa hromadia doplnky, ktoré boli použité raz a potom zabudnuté, ale ktoré stále majú prístup k prehliadaču.
Na zníženie rizík odborníci radia uprednostniť rozšírenia vyvinuté uznávanými subjektmiSkontrolujte hodnotenia a počet používateľov a dávajte si pozor na riešenia, ktoré sľubujú príliš veľa funkcií v jednom balíku. Pred inštaláciou sa tiež odporúča skontrolovať požadované povolenia, najmä ak doplnok požaduje úplný prístup ku všetkým údajom prehliadania bez toho, aby sa to zdalo nevyhnutné.
V podnikateľskom sektore, kde prehliadanie často zahŕňa prístup k citlivým informáciám a interným službám, európske organizácie zavádzajú špecifické politiky na ovládať, ktoré rozšírenia je možné používať na firemných počítačochMedzi bežné opatrenia patrí vytváranie bielych zoznamov povolených doplnkov, centralizované monitorovanie a používanie bezpečnostných riešení schopných monitorovať aktivitu prehliadača.
Pre individuálnych používateľov, ktorí majú podozrenie, že si nainštalovali potenciálne škodlivé rozšírenie, odborníci odporúčajú Odstráňte doplnok a spustite kontrolu spoľahlivým antivírusom. A ak pochybnosti pretrvávajú, poraďte sa s odborníkom na kybernetickú bezpečnosť. V zložitých kampaniach, ako je GhostPoster, nemusí stačiť len odinštalovanie škodlivého softvéru, ak bol v systéme nainštalovaný ďalší škodlivý softvér.
Prípad GhostPoster zdôrazňuje rozsah, v akom Slepá dôvera v oficiálne obchody s rozšíreniami môže byť riskantnáHoci zostávajú najbezpečnejším kanálom proti sťahovaniu z neznámych webových stránok, skúsenosti ukazujú, že nie sú neomylné a že útočníci sa vedia prispôsobiť ich kontrolným mechanizmom. Kombinácia kritickejšieho používania zo strany používateľov, prísnejších procesov kontroly a neustáleho monitorovania zo strany bezpečnostných spoločností bude kľúčová pre obmedzenie podobných kampaní v budúcnosti.
