Pārlūkprogrammas paplašinājumi ir kļuvuši par ikdienas rīku miljoniem lietotāju, kuri vēlas Uzlabojiet savu pieredzi pārlūkprogrammā Chrome, Firefox vai Edge.Tos izmanto tīmekļa lapu tulkošanai, reklāmu bloķēšanai, paroļu pārvaldībai vai pārlūkošanas paātrināšanai, un tos parasti instalē tikai ar pāris klikšķiem no oficiālajiem lietotņu veikaliem. Tieši šīs ērtības dēļ daudzi cilvēki tik tikko pārbauda, kas stāv aiz katra papildinājuma vai kādas atļaujas tas pieprasa.
Šī neuzmanība paver kibernoziedzniekiem iespēju izmantot paplašinājumus kā kluss kanāls datu spiegošanai un zādzībaiNesenā kampaņa ar nosaukumu GhostPoster ir skaidri parādījusi, cik bīstams ir šis vektors: krāpnieciski paplašinājumi integrējas tā, it kā tie būtu likumīgi, darbojas šķietami normāli un, vienlaikus uzraugot lietotāju aktivitātes, var palikt aktīvi gadiem ilgi, neradot aizdomas.
Kas ir GhostPoster kampaņa un kāpēc tā ir satraucoša?
Vairāku kiberdrošības uzņēmumu, tostarp, veiktās izmeklēšanas KOI un LayerXViņi ir atklājuši plaša mēroga operāciju, kas izmanto oficiālās Mozilla Firefox, Google Chrome un Microsoft Edge paplašinājumu krātuves. GhostPoster kampaņas ietvaros ir identificēti desmitiem papildinājumu, kas kopā Tie pārsniedz 840 000 instalāciju visā pasaulē — skaitlis, kas sniedz priekšstatu par problēmas apmēru.
Šie ļaunprātīgie paplašinājumi ir maskēti kā ikdienas rīki: Lapu tulkotāji, reklāmu bloķētāji, tā sauktie VPN vai utilītas lejupielāžu pārvaldībai. Pēc instalēšanas tās darbojas fonā, uzraugot upura darbības pārlūkprogrammā, piekļūstot pārlūkošanas datiem un dažos gadījumos iespējojot aizmugurējās durvis, kas ļauj attālināti vadīt aprīkojumu.
Īpaši satraucoši ir tas, ka daudzi no šiem paplašinājumiem jau ilgu laiku ir pieejami oficiālajos katalogos, kas nozīmē, ka Tie ir izturējuši Chrome interneta veikala, Firefox pievienojumprogrammu un Edge veikala atsauksmju filtrus.Saskaņā ar publicētajām analīzēm dažas no tām darbojas kopš 2020. gada, kas ir ļāvis kampaņai turpināt darboties ilgtspējīgi un bez būtiskiem traucējumiem.
GhostPoster ietvaros eksperti ir arī identificējuši progresīvāks un izvairīgāks variants kas pats par sevi ir sasniedzis vairāk nekā 3.800 instalāciju. Šī atzara izceļas ar spēju apiet kontroles un saplūst ar šķietami likumīgiem paplašinājumiem, apgrūtinot lietotājiem izpratni par to, ka kaut kas nav kārtībā.
Kā darbojas ļaunprātīgie paplašinājumi aiz GhostPoster
Pārlūkprogrammas paplašinājumi, neatkarīgi no tā, vai tie ir paredzēti Chrome, Firefox vai Edge, ir dziļi integrēti programmatūrā un var lasīt un modificēt tīmekļa lapu saturuTas ietver piekļuvi sīkfailiem, pārlūkošanas vēsturi un dažos gadījumos mijiedarbību ar operētājsistēmu. Ja paplašinājums ir labi izstrādāts, tas viss kalpo noderīgu funkciju nodrošināšanai; ja tas ir ļaunprātīgs, šī pati piekļuve kļūst par precīzu ieroci uzbrucējiem.
GhostPoster gadījumā galvenais ir tas, ka kaitīgā komponente ir rūpīgi slēpta. Izmeklēšana liecina, ka par kampaņu atbildīgie Viņi paslēpj daļu JavaScript koda paplašinājuma ikonas PNG attēlā.Šī metode, kas pazīstama kā steganogrāfija, ļauj nomaskēt informāciju šķietami nekaitīgos failos, lai no pirmā acu uzmetiena būtu redzams tikai parasts logotips, bet iekšpusē ir kods, kas vēlāk tiks izpildīts.
Šis slēptais kods tiek aktivizēts pēc paplašinājuma instalēšanas un ir atbildīgs par izspiegot lietotāju aktivitātes reāllaikāTas var reģistrēt, kuras lapas tiek apmeklētas, kuras veidlapas tiek aizpildītas vai kuri pakalpojumi tiek izmantoti, kā arī pārtvert sensitīvu informāciju, piemēram, akreditācijas datus vai sesijas žetonus. Dažos gadījumos tas arī lejupielādē papildu moduļus, kas galu galā... atvērt aizmugurējās durvis skartajā iekārtā, dodot uzbrucējiem iespēju izveidot savienojumu attālināti.
Izmantojot steganogrāfiju, kibernoziedznieki padara ļaunprātīgo komponentu relatīvi nepamanītu paplašinājumu krātuvju automatizētās pārskatīšanas laikā. Analīzes sistēmas parasti pārskata redzamo kodu un deklarēto uzvedību.Tomēr viņi var nepamanīt, ka uzbrukuma patiesais kodols slēpjas vienkāršā attēlā. Šāda pieeja apgrūtina platformām iespēju ierobežot krāpniecisku spraudņu izplatīšanu.
Turklāt GhostPoster pievienotās pievienojumprogrammas diezgan precīzi atdarina to likumīgo rīku funkcijas, kuriem tās it kā līdzinās. Tās piedāvā, piemēram, lapas tulkošanu vai pamata reklāmu bloķēšanu, kas pastiprina normalitātes sajūtu. Kamēr vien lietotājs uzskata, ka izmanto noderīgu paplašinājumu, Fonā uzbrucēja kontrolētajiem serveriem tiek ģenerēta pastāvīga informācijas plūsma..
KOI un LayerX loma kampaņas atklāšanā
GhostPoster skandāls nenotika vienas nakts laikā. Decembrī drošības firmas KOI analītiķi Viņi atklāja sākotnēju 17 ļaunprātīgu paplašinājumu grupu, kas bija publicēti oficiālajā Mozilla Firefox veikalā. Visi no tiem bija vērsti uz lietotājiem, kas meklēja bieži izmantotas utilītas, un kopumā tiem bija vairāk nekā 50 000 lejupielāžu.
Neilgi pēc tam kiberdrošības uzņēmums LayerX turpināja izmeklēšanu un atrada vēl viens 17 līdzīgu papildinājumu komplekts izplatīts, izmantojot Microsoft Edge un Google Chrome katalogus. Ar šiem jaunajiem atklājumiem kopējais ar GhostPoster saistīto instalāciju skaits visās trīs pārlūkprogrammās strauji pieauga līdz vairāk nekā 840 000, padarot to par kampaņu ar ievērojamu globālu ietekmi.
Publicētajos ziņojumos ir sīki aprakstīts, ka Visiem šiem paplašinājumiem bija kopīgi uzvedības modeļi un ļoti līdzīgas tehniskās struktūras, kas ļauj secināt, ka tās ir daļa no vienas koordinētas shēmas. Starp identificētajiem mērķiem bija navigācijas uzraudzība reāllaikā, masveida datu vākšana un klusa aizmugurējo durvju ieviešana iekārtās.
Analīzes laikā KOI un LayerX uzsvēra, ka operācija GhostPoster nav atsevišķs incidents, bet gan piemērs tam, ka stratēģija, kas tiek īstenota vairāku gadu garumā lai izmantotu paplašinājumu ekosistēmu. Pētnieki uzsver, ka liela instalāciju skaita un novēlotas atklāšanas kombinācija ir ļāvusi uzbrucējiem turpināt savas aktīvās kampaņas ar pietiekamu manevrēšanas iespēju.
Pēc ekspertu domām, paši pārlūkprogrammu pārdevēji saskaras ar sarežģītu uzdevumu: atklāt ļaunprātīgus rīkus, kas atdarina populārus pakalpojumusLai gan pastāv automatizētas kontroles un pārskatīšanas procesi, pieredze rāda, ka tie ne vienmēr ir pietiekami, lai apturētu paplašinājumus, kas izmanto uzlabotu slēpšanas taktiku, piemēram, tādu, kas redzama GhostPoster.
Kas aiz tā stāv: Darkspectre grupa un viņu iepriekšējās kampaņas
Izmeklēšana norāda uz kādu pazīstamu spēlētāju kiberdrošības jomā: Tumšais spoksŠī grupa jau gadiem ilgi izmanto pārlūkprogrammas paplašinājumus ļaunprogrammatūras izplatīšanai un tiek piedēvēta tādām iepriekšējām operācijām kā ShadyPanda un The Zoom Stealer, kas koplieto tehniskos resursus un infrastruktūru ar GhostPoster.
Saskaņā ar apkopotajiem datiem, Darkspectre laika gaitā ir pilnveidojis savu taktiku. Jau iepriekšējās kampaņas izrādīja īpašu interesi par iefiltrēšanos, izmantojot šķietami uzticamus kanālus., tāpat kā oficiālos aksesuāru veikalos. Šajā ziņā GhostPoster būtu tāda darba veida evolūcija, kura mērķis ir maksimāli palielināt sasniedzamību, neradot tūlītējas trauksmes signālus.
LayerX skaidro, ka GhostPoster, ShadyPanda un The Zoom Stealer izmantotās infrastruktūras izsekošana ir ļāvusi dokumentēt šo draudu tehnisko attīstībuPētnieki ir novērojuši, kā domēni, serveri un koda fragmenti tiek atkārtoti izmantoti dažādos uzbrukumos, pielāgojot rīkus platformu ieviestajiem drošības pasākumiem.
Viens no elementiem, kas visvairāk satrauc apsardzes uzņēmumus, ir tas, ka Tiek ziņots, ka daži ar Darkspectre saistītie paplašinājumi ir palikuši aktīvi kopš 2020. gada. netiekot atklātiem. Šī noturība uzsver gan uzbrucēju izsmalcinātību, gan automatizēto pārskatīšanas sistēmu ierobežojumus, kas ne vienmēr spēj identificēt ļaunprātīgus modeļus, ja tie ir paslēpti neparastos komponentos, piemēram, grafiskās ikonās.
Ziņojumos arī norādīts, ka no operatīvā viedokļa GhostPoster izmanto ļoti izsmalcinātas izvairīšanās metodesŠie pasākumi ietver aizkavētu komponentu ielādi, aktivizēšanu tikai noteiktos navigācijas apstākļos un diskrētu saziņu ar vadības un kontroles serveriem. Visi šie pasākumi palīdz samazināt troksni un pēc iespējas ilgāk palikt ārpus radara iedarbības.
Paplašinājumi — arvien biežāk sastopams uzbrukuma vektors
Papildus GhostPoster eksperti jau sen ir brīdinājuši, ka paplašinājumi ir atkārtots mērķis kibernoziedzniekiemTo popularitāte un uzticēšanās, ko tie rada, it kā nākot no oficiālajiem veikaliem, padara tos par ideālu kanālu ļaunprātīgas programmatūras ielaušanai, lietotājam neko nenojaušot.
Daudzos gadījumos upuri lejupielādē šos papildinājumus, jo Viņi sola pievilcīgas un bezmaksas funkcijasŠie paplašinājumi var palīdzēt: noņemt uzmācīgas reklāmas, uzlabot privātumu, paātrināt pārlūkprogrammas darbību vai automatizēt atkārtotus uzdevumus. Problēma ir tā, ka pēc atļauju piešķiršanas paplašinājums var piekļūt ievērojamam informācijas apjomam, nepieprasot atkārtotu autorizāciju.
Tādas kampaņas kā GhostPoster pierāda, ka pat tad, ja paplašinājums pilda dažus no saviem solījumiem, iespējams, veic slepenas darbībasCitiem vārdiem sakot, spraudnis var bloķēt reklāmas vai tulkot lapas normāli, bet vienlaikus apkopot pārlūkošanas datus, pārtvert akreditācijas datus vai sazināties ar ārējiem serveriem, lai lejupielādētu jaunas instrukcijas.
Tādu metožu kā attēlu steganogrāfija vai apmulsināta koda izpilde izmantošana ievērojami kavē analīzes uzdevumu. Tradicionālās drošības sistēmas mēdz meklēt zināmus modeļusBet, ja ļaunprātīgais kods slēpjas grafikas failos vai tiek nelielās porcijās izplatīts starp dažādiem komponentiem, identificēšana kļūst daudz sarežģītāka.
Šis scenārijs piespiež gan pārlūkprogrammu izstrādātājus, gan pašus paplašinājumu veikalus stiprināt pārbaudes mehānismusEksperti norāda, ka būs nepieciešams apvienot dziļāku automatizētu analīzi, manuālas revīzijas un rūpīgāk uzraudzīt paplašinājumu faktisko darbību pēc to publicēšanas, īpaši tiem, kas īsā laikā sasniedz lielu instalāciju skaitu.
Ietekme uz lietotājiem Eiropā un pamata ieteikumi
GhostPoster kampaņai ir globāls mērogs, taču Tas ietekmē arī lietotājus Spānijā un pārējā Eiropā.Apvienotajā Karalistē gandrīz visi mājas un profesionālajā vidē izmantotie pārlūki ir Chrome, Firefox un Edge. Ikviens, kurš pēdējos gados ir instalējis tulkošanas paplašinājumus, reklāmu bloķētājus vai VPN, varētu būt ticis pakļauts riskam, ja pievienojumprogramma būtu iekļauta ļaunprātīgo programmu sarakstā.
Eiropas iestādes un reaģēšanas komandas kā atsauci izmanto tādu uzņēmumu kā KOI un LayerX ziņojumus. atjauniniet savus brīdinājumus un datoru drošības standartiVispārīgs ieteikums ir periodiski pārskatīt instalētos paplašinājumus un atinstalēt tos, kas vairs netiek izmantoti vai kuru izcelsme nav skaidra. Nav nekas neparasts, ka uzkrājas paplašinājumi, kas vienreiz tika izmantoti un pēc tam aizmirsti, bet kuriem joprojām ir piekļuve pārlūkprogrammai.
Lai mazinātu riskus, speciālisti iesaka prioritizēt paplašinājumus, ko izstrādājušas atzītas struktūrasPārbaudiet vērtējumus un lietotāju skaitu un esiet piesardzīgs attiecībā uz risinājumiem, kas sola pārāk daudz funkciju vienā paketē. Pirms instalēšanas ieteicams arī pārskatīt pieprasītās atļaujas, īpaši, ja pievienojumprogramma pieprasa pilnīgu piekļuvi visiem pārlūkošanas datiem, nešķietot absolūti nepieciešama.
Uzņēmējdarbības sektorā, kur pārlūkošana bieži vien ietver piekļuvi sensitīvai informācijai un iekšējiem pakalpojumiem, Eiropas organizācijas ievieš īpašas politikas, lai kontrolēt, kurus paplašinājumus var izmantot korporatīvajos datorosBieži sastopamie pasākumi ietver atļauto pievienojumprogrammu balto sarakstu izveidi, centralizētu uzraudzību un tādu drošības risinājumu izmantošanu, kas spēj uzraudzīt pārlūkprogrammas darbību.
Atsevišķiem lietotājiem, kuriem ir aizdomas, ka viņi ir instalējuši potenciāli ļaunprātīgu paplašinājumu, eksperti iesaka Noņemiet pievienojumprogrammu, veiciet skenēšanu ar uzticamu pretvīrusu. Un, ja šaubas joprojām pastāv, konsultējieties ar kiberdrošības speciālistu. Sarežģītās kampaņās, piemēram, GhostPoster, vienkārša ļaunprogrammatūras atinstalēšana var nebūt pietiekama, ja sistēmā ir instalēta papildu ļaunprogrammatūra.
GhostPoster lieta izceļ to, cik lielā mērā Akla uzticēšanās oficiālajām paplašinājumu vietnēm var būt riskantaLai gan tie joprojām ir drošākais kanāls pret lejupielādēm no nezināmām vietnēm, pieredze rāda, ka tie nav nekļūdīgi un ka uzbrucēji zina, kā pielāgoties to kontroles mehānismiem. Lietotāju kritiskāka lietošana, stingrāki pārskatīšanas procesi un drošības uzņēmumu nepārtraukta uzraudzība būs galvenie faktori līdzīgu kampaņu ierobežošanā nākotnē.
