GhostPoster zloupotrebljava Firefox proširenja

AUTOR ·

Kampanja GhostPoster otkrila je značajan pejzaž prijetnji unutar Firefox ekosistema, gdje su zlonamjerni akteri koristili steganografske tehnike da bi ugradili zlonamjerni kôd u naizgled bezopasna proširenja. Istraživači kompanije Koi Security time su ukazali na kritičnu ranjivost u bezbjednosnim protokolima internet pregledača i naglasili potrebu za rigoroznim procedurama testiranja i provjere.

GhostPoster

GhostPoster zloupotrebljava Firefox proširenja; Source: Bing Image Creator

GHOSTPOSTER KAMPANJA

Posljednjih godina među sigurnosnim istraživačima raste zabrinutost zbog ranjivosti povezanih sa dodacima za internet pregledače. Laka izrada i primjena takvih proširenja dovela je do naglog porasta njihovog broja, što korisnicima otežava razlikovanje legitimnih od zlonamjernih ponuda.

Kampanja GhostPoster pokazuje kako se ove zabrinutosti mogu pretvoriti u prijetnje u stvarnom svijetu. Ugrađivanjem zlonamjernog JavaScript kôda u datoteke sa logotipom, povezane sa 17 proširenja za Mozilla Firefox, zlonamjerni akteri su uspjeli da preuzmu partnerske veze, ubace kôd za praćenje i sprovedu prevare sa klikovima i oglasima u velikim razmjerama.

Preko 50.000 preuzimanja ovih proširenja svjedoči o njihovoj popularnosti među korisnicima koji traže funkcionalnosti poput virtualnih privatnih mreža (VPN), alata za snimke ekrana, blokatora oglasa i nezvaničnih verzija Google prevodioca. Najstariji dodatak, Dark Mode, objavljen je 25. oktobra 2024. godine, čime je započeta ova kampanja.

Objavljivanje Dark Mode proširenja poklopilo se sa rastućim trendom razvoja dodataka za internet pregledače, koji korisnicima nude širok spektar mogućnosti za poboljšanje iskustva pregledanja. Ipak, GhostPoster je pokazao da takva proširenja mogu postati vektori za širenje i iskorištavanje zlonamjernog softvera.

 

Višestepeni proces infekcije

Detaljnijim ispitivanjem kampanje GhostPoster otkriva se napredan pristup širenju zlonamjernog softvera. Korištenje datoteka logotipa kao vektora za ubrizgavanje zlonamjernog JavaScript kôda predstavlja novu tehniku koja ranije nije bila dokumentovana u bezbjednosnoj zajednici.

Proces počinje izradom i distribucijom kompromitovanih dodataka za internet pregledač, koje zatim preuzimaju nesvjesni korisnici. Nakon instalacije, ova proširenja dobijaju pristup osjetljivim podacima, uključujući istoriju pregledanja, kolačiće i druge informacije.

Složenost kampanje ogleda se u njenoj sposobnosti da izbjegne otkrivanje tradicionalnim bezbjednosnim mjerama. Korištenjem legitimnih dodataka kao vektora za širenje zlonamjernog softvera, zlonamjerni akteri uspjeli su da zaobiđu konvencionalne odbrane zasnovane na potpisima.

Pregled pokazuje da je zlonamjerni JavaScript kôd ugrađen u datoteke logotipa osmišljen da izvrši višestepeni korisni teret nakon instalacije. Taj teret obuhvata otmicu partnerskih veza, ubrizgavanje kôda za praćenje i sprovođenje prevara sa klikovima i oglasima u velikim razmjerama.

 

Logo

Datoteka logo.png koja se nalazi u proširenju naizgled djeluje kao obična slika, ali detaljnijim pregledom otkriva mnogo više nego što se u prvi mah čini. Ispod niza oznaka sastavljenih od tri znaka jednakosti (===) nalazi se zamagljen JavaScript učitavač, vješto prikriven od alata za statičku detekciju i ljudske provjere. Ova steganografska tehnika omogućava zlonamjernom softveru da izbjegne kontrolu, dok zadržava izgled legitimne slikovne datoteke.

Primjena takve metode posebno je značajna u današnjem digitalnom okruženju, gdje se mjere bezbjednosti stalno usavršavaju. Kako branioci postaju vještiji u otkrivanju zlonamjernog kôda različitim postupcima, zlonamjerni akteri odgovaraju uključivanjem prikrivenih tehnika poput steganografije u svoj arsenal. Sakrivanjem prve faze napada unutar slike koja izgleda bezopasno, zlonamjerni softver može ostati neotkriven duže vrijeme.

 

Program za učitavanje

Nakon što se izvuče iz skrovišta unutar datoteke logo.png, program za učitavanje preuzima ključnu ulogu u sprovođenju daljih zlonamjernih aktivnosti. Ova komponenta uspostavlja vezu sa www.liveupdt.com ili www.dealctr.com kao dijelom primarne infrastrukture komandnog i kontrolnog (C2) servera. Međutim, ne preuzima zlonamjerni softver pri svakoj prijavi, već koristi nasumično vrijeme i stopu isporuke korisnog tereta od 10%.

Takva proračunata strategija predstavlja pokušaj da se izbjegne pažnja alata za praćenje mreže, koji su osmišljeni da otkriju sumnjive aktivnosti na osnovu obrazaca poput učestalih veza ili velikih količina prenosa podataka. Uvođenjem slučajnosti u svoje ponašanje, program za učitavanje smanjuje vidljivost, a istovremeno održava privid legitimnosti.

Korištenje nasumičnog vremena i ograničene stope isporuke korisnog tereta pokazuje evoluciju prijetnji zlonamjernog softvera, gdje zlonamjerni akteri stalno prilagođavaju taktike kako bi izbjegli otkrivanje. Sama činjenica da program ne preuzima zlonamjerni softver pri svakoj prijavi ukazuje na nivo planiranja i pažljivo osmišljene postupke autora. Ovakav pristup im omogućava da zadrže kontrolu nad tim kada i kako se korisni teret isporučuje.

 

Šifrovanje

Kada se konačni korisni teret isporuči na odredište, stiže šifrovan pomoću prilagođene šeme šifrovanja koja obrće velika i mala slova, zamjenjuje cifre 8 i 9 i zatim dešifruje rezultat kroz base64. Ovaj složeni postupak osigurava da, čak i ako sigurnosni istraživači presretnu ili dobiju pristup šifrovanim podacima, neće moći da razumiju njihovo značenje bez ispravnog ključa.

Primjena prilagođene šeme šifrovanja u ovom kontekstu naglašava značaj mehanizama bezbjedne isporuke korisnog tereta za sprovođenje zlonamjernih aktivnosti. Šifrovanjem podataka prije prenosa i njihovim čuvanjem na ugroženim sistemima, zlonamjerni akteri zadržavaju kontrolu nad distribucijom, dok istovremeno smanjuju rizik od otkrivanja od strane branilaca koji prate mrežni saobraćaj ili sistemske zapise.

Činjenica da se koristi ključ povezan sa ID izvršavanja proširenja ukazuje na nivo planiranja i pažljivo osmišljene taktike zlonamjernih aktera. Ovakav pristup im omogućava da obezbijede postojanost u različitim sesijama i sistemima, bez oslanjanja isključivo na statičke ključeve ili čvrsto kodirane vrijednosti koje bi mogle biti ugrožene tokom prenosa.

 

Korisni teret

Konačni korisni teret isporučen na odredište predstavlja sveobuhvatan alat osmišljen da olakša različite oblike zlonamjernih aktivnosti. Njegove funkcije obuhvataju otmicu partnerskih veza na internet stranicama za trgovinu, praćenje zasnovano na Google analitici koje bilježi vremenske oznake infekcije, posjećene stranice trgovaca i digitalne otiske (eng. fingerprints) internet pregledača.

Uklanjanje bezbjednosnih zaglavlja ima značajnu ulogu, jer korisni teret uklanja zaštite poput Content-Security-Policy i X-Frame-Options na svim posjećenim lokacijama. Time zlonamjerni akteri zaobilaze mjere namijenjene zaštiti korisnika od zlonamjernih aktivnosti, a istovremeno zadržavaju kontrolu nad iskustvom pregledanja.

Tehnike CAPTCHA zaobilaženja čine još jednu ključnu komponentu ovog skupa alata. One koriste slojeve, rješenja postavljena na GitHub platformi ili status Baidu naloga kako bi se izbjeglo otkrivanje od strane branilaca koji prate interakcije sa CAPTCHA testovima. Nevidljiva ubacivanja iframe prozora primjenjuju se zajedno sa drugim taktikama radi oglasne prevare i dodatnog praćenja, često sa trajanjem od svega 15 sekundi.

 

Lista ugroženih proširenja

Kao što je već navedeno, kampanja GhostPoster povezana je sa 17 proširenja za Mozilla Firefox, koja su preuzeta više od 50.000 puta. Ovaj podatak svjedoči o njihovoj popularnosti među korisnicima koji su tražili dodatne funkcionalnosti. Kompletna lista ugroženih dodataka nalazi se ispod:

  • Free VPN,
  • Screenshot,
  • Weather (weather-best-forecast),
  • Mouse Gesture (crxMouse),
  • Cache – Fast site loader,
  • Free MP3 Downloader,
  • Google Translate (google-translate-right-clicks),
  • Traductor de Google,
  • Global VPN – Free Forever,
  • Dark Reader Dark Mode,
  • Translator – Google Bing Baidu DeepL,
  • Weather (i-like-weather),
  • Google Translate (google-translate-pro-extension),
  • 谷歌翻译,
  • libretv-watch-free-videos,
  • Ad Stop – Best Ad Blocker,
  • Google Translate (right-click-google-translate).

 

UTICAJ

Sajber prijetnja koju predstavlja GhostPoster ima snažan uticaj na pojedince, organizacije i širi pejzaž bezbjednosti. Njegova prikrivena priroda omogućava mu da ostane neotkriven tokom dužeg vremenskog perioda, dok su osjetljive informacije izložene riziku, a kritični sistemi ranjivi. Posljedice takve produžene izloženosti su dalekosežne: korisnici se suočavaju sa povećanim rizikom od krađe podataka, finansijskog gubitka i ozbiljne štete po reputaciju.

Ekonomski aspekt ove prijetnje posebno je izražen. Troškovi reagovanja na napad, u kombinaciji sa izgubljenom produktivnošću i narušenim ugledom, mogu biti ogromni. Uz to, organizacije se često suočavaju sa pojačanim nadzorom regulatornih tijela, što dodatno povećava finansijski teret i otežava oporavak.

Organizacije koje postanu žrtve GhostPoster zlonamjernog softvera moraju se nositi sa složenim izazovima upravljanja bezbjednosnim incidentom. To obuhvata procedure obavještavanja, napore za suzbijanje i moguće regulatorne posljedice. Povjerenje između organizacija i njihovih kupaca, jednom narušeno, teško se obnavlja, što dovodi do dugoročnih posljedica po poslovne odnose i tokove prihoda.

Posebnu zabrinutost izaziva sposobnost GhostPoster da izbjegne otkrivanje tokom dužeg vremenskog perioda, jer se time otvara mogućnost njegove upotrebe u ciljanim napadima na ciljeve visoke vrijednosti. Posljedice su višestruke i zahtijevaju stalno prilagođavanje razumijevanja uticaja ove prijetnje na globalnu bezbjednosnu dinamiku. Kako se GhostPoster razvija, tako se mora razvijati i odgovor na njega.

 

ZAKLJUČAK

Zlonamjerni softver GhostPoster predstavlja ozbiljnu prijetnju koja se uvukla u više Firefox proširenja, ugrožavajući privatnost i bezbjednost korisnika. Ugrađeni kôd omogućava zlonamjernim akterima da izvuku skriveni JavaScript, pokreću daljinske komande, uklanjaju zaštitna zaglavlja i preusmjere korisnički saobraćaj radi prevare sa partnerima.

Prikriveni način rada omogućava GhostPoster zlonamjernom softveru da ostane prisutan na internet pregledaču žrtve bez izazivanja alarma. Takva upornost olakšava dalju zloupotrebu ranjivosti, uključujući napade međulokacijskog skriptovanja (eng. Cross-Site Scripting – XSS) i prikriveno preusmjeravanje korisnika (eng. clickjacking). Onemogućavanjem ključnih zaštita internet pregledača, poput Content-Security-Policy i X-Frame-Options, korisnici se izlažu dodatnim rizicima.

Uticaj GhostPoster zlonamjernog softvera ne pogađa samo pojedinačne žrtve, već narušava povjerenje u digitalne usluge i potkopava čitav bezbjednosni ekosistem. Kako istraživači otkrivaju sve više njegovih primjeraka, postaje jasno da GhostPoster predstavlja prijetnju od velikog značaja za digitalnu bezbjednost.

Masovna upotreba Firefox proširenja stvorila je pogodno tlo za zlonamjerne aktivnosti. Jednostavnost instaliranja dodataka iz različitih izvora dovela je do širenja softvera koji može ugroziti korisnike. Ovakva situacija zahtijeva veću pažnju i zajednički rad programera, istraživača i samih korisnika kako bi se smanjili rizici povezani sa GhostPoster zlonamjernim softverom.

Posebno zabrinjava sposobnost ovog softvera da ostane neaktivan duže vrijeme prije nego što pokrene lanac infekcije. Tradicionalne mjere zaštite često nisu dovoljne da se suprotstave ovakvim prijetnjama, pa je neophodno razvijati naprednije mehanizme otkrivanja i nastaviti istraživanja u oblasti analize zlonamjernog kôda.

Kampanja GhostPoster pokazala je visok stepen umreženosti i koordinacije među zlonamjernim akterima. Korištenje više proširenja povezanih sa istom infrastrukturom komandovanja i kontrole ukazuje na pažljivo osmišljenu strategiju usmjerenu na povećanje uticaja uz smanjenje rizika od otkrivanja.

 

PREPORUKE

Zaštita od GhostPoster zlonamjernog softvera zahtijeva višeslojni pristup koji obuhvata stalnu pažnju i pojedinaca i organizacija. Samo zajedničkim djelovanjem moguće je smanjiti rizike koje ova prijetnja nosi i očuvati sigurnost digitalnog okruženja. U nastavku slijede preporuke koje ukazuju na ključne korake potrebne za jačanje odbrane i smanjenje izloženosti ovoj prijetnji:

  1. Redovno provjeravati pouzdane izvore radi informacija o novootkrivenim kampanjama zlonamjernog softvera poput GhostPoster. Na ovaj način moguće je biti korak ispred potencijalnih rizika i preduzeti proaktivne mjere zaštite.
  2. Prije dodavanja novog proširenja potrebno je pažljivo pregledati njegova ovlašćenja i funkcionalnost. Posebnu pažnju obratiti na proširenja koja traže prekomjeran pristup ili djeluju nepotrebno složeno. Autentičnost proširenja provjeravati kroz reputaciju autora i komentare korisnika.
  3. Sva instalirana proširenja treba da imaju važeće digitalne potpise od pouzdanih certifikacionih tijela. Time se smanjuje mogućnost da zlonamjerni kôd poput GhostPoster zlonamjernog softvera bude ubačen u naizgled legitimne dodatke.
  4. Antivirusni softver potrebno je instalirati i redovno ažurirati radi otkrivanja i uklanjanja zlonamjernog softvera, uključujući skrivene prijetnje kakve predstavlja GhostPoster. Nijedna mjera zaštite nije savršena, pa je nužno kombinovati više metoda radi sveobuhvatne odbrane.
  5. Korisnička ovlašćenja na uređajima i sistemima treba ograničiti kako bi se spriječile neovlaštene instalacije ili izmjene softvera. Ovakva mjera može pomoći da se ograniči šteta u slučaju napada.
  6. Povremeno provjeravati listu dodataka u internet pregledaču, naročito onih koji su nedavno dodani ili ažurirani. Sumnjiva ili nepotrebna proširenja ukloniti radi smanjenja rizika.
  7. Uređaji treba da rade na operativnom sistemu sa aktuelnim bezbjednosnim ispravkama. Ovo pomaže u sprječavanju iskorištavanja ranjivosti u zastarjelom softveru.
  8. Potrebno je uspostaviti politike koje stalno provjeravaju vjerodostojnost dolaznog saobraćaja i aktivnosti unutar mreže. Takav pristup smanjuje rizik od zloupotrebe povjerenja i jača ukupnu bezbjednost sistema.
  9. Redovno pregledati datoteke sa sistemskim zapisima radi znakova sumnjivog ponašanja ili pokušaja neovlaštenog pristupa. Ovo može pomoći u ranom otkrivanju infekcija i sprječavanju daljih posljedica.
  10. Razvoj plana odgovora na sajber prijetnju će pomoći organizacijama da se pripreme i odgovore na potencijalne propuste izazvane napadima sličnim operaciji GhostPoster. Plan treba da uključuje procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se osiguralo minimalno ometanje u slučaju propusta.
  11. Povremeno analizirati sisteme i aplikacije radi otkrivanja slabosti koje bi mogle biti iskorištene od strane zlonamjernog softvera.
  12. Bezbjednosne ispravke i ažuriranja potrebno je primjenjivati čim postanu dostupna, za sav softver uključujući internet pregledače i operativne sisteme.
  13. Prenos podataka treba da bude šifrovan pouzdanim standardima radi zaštite od presretanja ili izmjena osjetljivih informacija.
  14. Redovno praviti rezervne kopije ključnih podataka i obezbijediti njihovu brzu obnovu u slučaju napada, kako bi se smanjio uticaj na poslovanje.
  15. Osoblje treba edukovati o novim prijetnjama poput GhostPoster zlonamjernog softvera i načinima prepoznavanja rizika ili sumnjivog ponašanja.
  16. Potrebno je razviti procedure za reagovanje na incidente koji uključuju dobavljače, posebno u situacijama kada zlonamjerni kôd može biti ubačen u softver koji oni isporučuju.
  17. Postojeće politike potrebno je povremeno procjenjivati i prilagođavati novim prijetnjama, uz njihovo ažuriranje u skladu sa dostupnim najboljim praksama i tehnologijama.
  18. Sisteme, mreže i aplikacije potrebno je redovno nadzirati kako bi se na vrijeme otkrili pokušaji neovlaštenog pristupa ili drugi znakovi sumnjivog ponašanja.

Zaštita od prijetnji kao što je GhostPoster zahtjeva budnost i pojedinaca i organizacija. Primjenom ovih preporuka u kombinaciji sa drugim najboljim bezbjednosnim praksama, korisnici i organizacije mogu značajno smanjiti svoju izloženost rizicima povezanim sa ovom vrstom zlonamjernog kôda.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.