Ang mga extension ng browser ay naging pang-araw-araw na kagamitan para sa milyun-milyong gumagamit na nagnanais Pagbutihin ang iyong karanasan sa Chrome, Firefox, o Edge.Ginagamit ang mga ito para magsalin ng mga web page, mag-block ng mga ad, pamahalaan ang mga password, o pabilisin ang pag-browse, at karaniwan itong nai-install sa ilang pag-click lamang mula sa mga opisyal na app store. Dahil mismo sa kaginhawahang ito, maraming tao ang halos hindi tinitingnan kung sino ang nasa likod ng bawat add-on o kung anong mga pahintulot ang hinihiling nito.
Ang pangangasiwang ito ay nagbubukas ng pinto para sa mga cybercriminal na gumamit ng mga extension bilang tahimik na channel para sa pag-espiya at pagnanakaw ng dataNilinaw ng isang kamakailang kampanya, na tinawag na GhostPoster, kung gaano kadelikado ang vector na ito: ang mga mapanlinlang na extension ay nagsasama-sama na parang lehitimo, gumagana nang may tila normal na paggana, at maaaring manatiling aktibo sa loob ng maraming taon nang hindi nagdudulot ng hinala habang sinusubaybayan ang aktibidad ng user.
Ano ang kampanyang GhostPoster at bakit ito nakababahala?
Mga imbestigasyon ng ilang kompanya ng cybersecurity, kabilang ang KOI at LayerXNatuklasan nila ang isang malawakang operasyon na nagsasamantala sa mga opisyal na tindahan ng extension ng Mozilla Firefox, Google Chrome, at Microsoft Edge. Sa ilalim ng kampanyang GhostPoster, dose-dosenang mga add-on ang natukoy na, kung pagsasama-samahin, Lumagpas sila sa 840.000 na instalasyon sa buong mundo, isang pigura na nagbibigay ng ideya tungkol sa saklaw ng problema.
Ang mga malisyosong extension na ito ay nagkukunwaring pang-araw-araw na kagamitan: Mga tagasalin ng pahina, mga ad blocker, at mga tinatawag na VPN o mga utility para sa pamamahala ng mga download. Kapag na-install na, tatakbo ang mga ito sa background, sinusubaybayan ang ginagawa ng biktima sa browser, ina-access ang data ng pag-browse at, sa ilang mga kaso, pinapagana mga pinto sa likuran na nagbibigay-daan sa remote control ng kagamitan.
Ang lalong nakababahala ay marami sa mga extension na ito ay matagal nang available sa mga opisyal na katalogo, na nangangahulugang Nakapasa sila sa mga filter ng pagsusuri ng Chrome Web Store, Firefox Add-ons, at Edge store.Ayon sa mga inilabas na pagsusuri, ang ilan ay nagpapatakbo na simula pa noong 2020, na nagbigay-daan upang manatiling aktibo ang kampanya sa isang napapanatiling paraan at walang malalaking abala.
Sa loob ng GhostPoster, natukoy din ng mga eksperto isang mas advanced at iwastong variant na, sa sarili nitong paraan, ay nakamit na ang mahigit 3.800 na instalasyon. Namumukod-tangi ang sangay na ito dahil sa kakayahang umiwas sa mga kontrol at makihalubilo sa mga tila lehitimong extension, na lalong nagpapahirap para sa mga user na mapagtanto na may mali.
Paano gumagana ang mga malisyosong extension sa likod ng GhostPoster
Ang mga extension ng browser, para man sa Chrome, Firefox, o Edge, ay lubos na naka-integrate sa software at kaya nitong... basahin at baguhin ang nilalaman ng mga web pageKabilang dito ang pag-access sa cookies, browsing history, at, sa ilang mga kaso, pakikipag-ugnayan sa operating system. Kapag ang isang extension ay mahusay na dinisenyo, lahat ng ito ay nagsisilbing magbigay ng mga kapaki-pakinabang na function; kapag ito ay malisyoso, ang parehong access na iyon ay nagiging isang tumpak na sandata para sa mga umaatake.
Sa kaso ng GhostPoster, ang susi ay maingat na itinatago ang mapaminsalang bahagi. Ipinapahiwatig ng mga imbestigasyon na ang mga responsable sa kampanya Itinatago nila ang bahagi ng JavaScript code sa loob ng PNG na imahe ng icon ng extension.Ang pamamaraang ito, na kilala bilang steganography, ay nagpapahintulot sa impormasyon na maitago sa tila hindi nakapipinsalang mga file, kaya sa unang tingin ay isang normal na logo lamang ang makikita, ngunit sa loob ay ang code na ipapatupad sa kalaunan.
Ang nakatagong code na ito ay ia-activate kapag na-install na ang extension at responsable para sa tiktikan ang aktibidad ng gumagamit sa totoong orasMaaari nitong itala kung aling mga pahina ang binibisita, kung aling mga form ang pinupunan, o kung aling mga serbisyo ang ginagamit, pati na rin ang pag-intercept ng sensitibong impormasyon tulad ng mga kredensyal o mga token ng sesyon. Sa ilang mga kaso, nagda-download din ito ng mga karagdagang module na sa huli... magbukas ng backdoor sa apektadong kagamitan, na nagbibigay sa mga umaatake ng kakayahang kumonekta nang malayuan.
Gamit ang steganography, ginagawang hindi napapansin ng mga cybercriminal ang malisyosong bahagi habang nagre-automate ng mga review sa mga extension store. Karaniwang sinusuri ng mga sistema ng pagsusuri ang nakikitang code at idineklarang pag-uugaliGayunpaman, maaaring hindi nila matukoy na ang tunay na sentro ng pag-atake ay nakatago sa loob ng isang simpleng imahe. Ang pamamaraang ito ay nagpapataas ng kahirapan para sa mga platform na sinusubukang pigilan ang pamamahagi ng mga mapanlinlang na plugin.
Bukod pa rito, ang mga add-on na naka-link sa GhostPoster ay lubos na ginagaya ang mga function ng mga lehitimong tool na sinasabi nilang kamukha nila. Nag-aalok ang mga ito, halimbawa, ng pagsasalin ng pahina o pangunahing pagharang sa ad, na nagpapatibay sa pakiramdam ng normal na pamumuhay. Hangga't naniniwala ang gumagamit na gumagamit sila ng isang kapaki-pakinabang na extension, Sa likuran, isang patuloy na daloy ng impormasyon ang nalilikha patungo sa mga server na kontrolado ng umaatake..
Ang papel ng KOI at LayerX sa pagtuklas ng kampanya
Hindi nangyari agad ang iskandalo ng GhostPoster. Noong Disyembre, ang mga analyst mula sa kompanya ng seguridad na KOI Nakatukoy sila ng isang unang grupo ng 17 malisyosong extension na inilathala sa opisyal na tindahan ng Mozilla Firefox. Lahat ng mga ito ay nagta-target sa mga user na naghahanap ng mga karaniwang utility at, sama-sama, ay mayroong mahigit 50.000 na download.
Di-nagtagal pagkatapos, ipinagpatuloy ng kompanya ng cybersecurity na LayerX ang imbestigasyon at natagpuan isa pang pakete ng 17 katulad na mga add-on ipinamahagi sa pamamagitan ng mga katalogo ng Microsoft Edge at Google Chrome. Dahil sa mga bagong pagtuklas na ito, ang kabuuang bilang ng mga pag-install na nauugnay sa GhostPoster ay tumaas nang mabilis sa mahigit 840.000 sa tatlong browser, na ginagawa itong isang kampanya na may malaking pandaigdigang epekto.
Ang mga nailathalang ulat ay nagdedetalye na Ang lahat ng mga extension na ito ay nagbahagi ng mga pattern ng pag-uugali at halos magkatulad na teknikal na istruktura, na humahantong sa konklusyon na sila ay bahagi ng iisang koordinadong pamamaraan. Kabilang sa mga natukoy na layunin ay ang real-time na pagsubaybay sa nabigasyon, pangongolekta ng datos ng masa, at ang tahimik na pagpapakilala ng mga backdoor sa kagamitan.
Sa pagsusuri, binigyang-diin ng KOI at LayerX na ang Operation GhostPoster ay hindi isang nakahiwalay na insidente, kundi isang halimbawa ng isang estratehiyang pinanatili sa loob ng ilang taon upang samantalahin ang ecosystem ng extension. Binibigyang-diin ng mga mananaliksik na ang kombinasyon ng malaking dami ng mga instalasyon at huling pagtuklas ay nagbigay-daan sa mga umaatake na mapanatili ang kanilang mga aktibong kampanya nang may sapat na espasyo para magmaniobra.
Ayon sa mga eksperto, ang mga nagtitinda ng browser mismo ay nahaharap sa isang kumplikadong gawain: tuklasin ang mga nakakahamak na tool na ginagaya ang mga sikat na serbisyoBagama't umiiral ang mga awtomatikong kontrol at proseso ng pagsusuri, ipinapakita ng karanasan na hindi palaging sapat ang mga ito upang pigilan ang mga extension na gumagamit ng mga advanced na taktika sa pagtatago tulad ng nakikita sa GhostPoster.
Sino ang nasa likod nito: ang grupong Darkspectre at ang kanilang mga nakaraang kampanya
Itinuturo ng imbestigasyon ang isang kilalang manlalaro sa larangan ng cybersecurity: DarkspectreAng grupong ito ay gumagamit ng mga browser extension upang mamahagi ng malware sa loob ng maraming taon at kinikilala sa mga nakaraang operasyon tulad ng ShadyPanda at The Zoom Stealer, na nagbabahagi ng mga teknikal na mapagkukunan at imprastraktura sa GhostPoster.
Ayon sa nakalap na datos, pinagbubuti ng Darkspectre ang mga taktika nito sa paglipas ng panahon. Ang mga nakaraang kampanya ay nagpakita na ng espesyal na interes sa pagpasok nang palihim sa pamamagitan ng mga tila mapagkakatiwalaang paraan., tulad ng mga opisyal na tindahan ng aksesorya. Sa ganitong diwa, ang GhostPoster ay magiging isang ebolusyon ng isang linya ng trabaho na naglalayong i-maximize ang abot nang hindi agarang nagtataas ng mga alarma.
Ipinaliwanag ng LayerX na ang pagsubaybay sa imprastrakturang ginagamit sa GhostPoster, ShadyPanda, at The Zoom Stealer ay nagbigay-daan upang idokumento ang teknikal na ebolusyon ng mga bantang itoNaobserbahan ng mga mananaliksik kung paano muling ginagamit ang mga domain, server, at mga fragment ng code sa iba't ibang pag-atake, at iniaangkop ang mga tool sa mga hakbang sa seguridad na ipinapatupad ng mga platform.
Isa sa mga elementong pinaka-nakababahala sa mga kompanya ng seguridad ay ang Ang ilang mga extension na naka-link sa Darkspectre ay naiulat na nanatiling aktibo simula noong 2020 nang hindi natutukoy. Itinatampok ng pagpupursige na ito ang parehong pagiging sopistikado ng mga umaatake at ang mga limitasyon ng mga awtomatikong sistema ng pagsusuri, na hindi laging natutukoy ang mga malisyosong pattern kapag ang mga ito ay nakatago sa mga hindi pangkaraniwang bahagi, tulad ng mga graphic icon.
Ipinapahiwatig din ng mga ulat na, mula sa punto de bista ng operasyon, Ang GhostPoster ay umaasa sa mga lubos na pinong pamamaraan ng pag-iwasKabilang sa mga hakbang na ito ang naantalang pagkarga ng bahagi, pag-activate lamang sa ilalim ng mga partikular na kondisyon ng nabigasyon, at paggamit ng mga discreet na komunikasyon sa mga command and control server. Ang lahat ng ito ay nakakatulong sa pagbabawas ng ingay at pag-iwas sa radar hangga't maaari.
Mga extension, isang nagiging karaniwang vector ng pag-atake
Bukod sa GhostPoster, matagal nang nagbabala ang mga eksperto na ang mga extension ay isang paulit-ulit na target para sa mga cybercriminalAng kanilang popularidad at ang tiwala na nalilikha nila sa diumano'y nagmumula sa mga opisyal na tindahan ang dahilan kung bakit sila isang mainam na daluyan para sa palihim na pagpasok ng malisyosong software nang walang hinala ang gumagamit.
Sa maraming pagkakataon, dina-download ng mga biktima ang mga add-on na ito dahil Nangangako sila ng mga kaakit-akit at libreng tampokAng mga extension na ito ay makakatulong sa iyo na: mag-alis ng mga nakakaabala na ad, mapabuti ang privacy, mapabilis ang iyong browser, o i-automate ang mga paulit-ulit na gawain. Ang problema ay, kapag naibigay na ang mga pahintulot, maaaring ma-access ng extension ang isang malaking halaga ng impormasyon nang hindi na kailangang humingi muli ng pahintulot.
Ipinapakita ng mga kampanyang tulad ng GhostPoster na, kahit na natutupad ng extension ang ilan sa mga pangako nito, maaaring nagsasagawa ng mga palihim na aktibidadSa madaling salita, maaaring harangan ng plugin ang mga ad o isalin ang mga pahina nang normal, ngunit sabay na mangolekta ng data mula sa pag-browse, maharang ang mga kredensyal, o makipag-ugnayan sa mga panlabas na server upang mag-download ng mga bagong tagubilin.
Ang paggamit ng mga pamamaraan tulad ng image steganography o ang pagpapatupad ng obfuscated code ay lubhang nakakahadlang sa gawain ng pagsusuri. Ang mga tradisyunal na sistema ng seguridad ay may posibilidad na maghanap ng mga kilalang patternNgunit kapag ang malisyosong code ay nagtatago sa mga graphic file o ipinamamahagi sa maliliit na bahagi sa iba't ibang bahagi, ang pagkilala ay nagiging mas kumplikado.
Pinipilit ng senaryo na ito ang parehong mga developer ng browser at ang mga extension store na gawin ang kanilang mga sarili palakasin ang mga mekanismo ng beripikasyonItinuturo ng mga eksperto na kakailanganing pagsamahin ang mas malalim na awtomatikong pagsusuri, mga manu-manong pag-audit, at mas malawak na pagsubaybay sa aktwal na pag-uugali ng mga extension kapag nailathala na, lalo na iyong mga nakakamit ng mataas na bilang ng mga pag-install sa maikling panahon.
Epekto sa mga gumagamit sa Europa at mga pangunahing rekomendasyon
Ang kampanyang GhostPoster ay may pandaigdigang saklaw, ngunit Nakakaapekto rin ito sa mga gumagamit sa Espanya at sa iba pang bahagi ng EuropaSa UK, ang Chrome, Firefox, at Edge ang bumubuo sa halos lahat ng paggamit ng browser sa tahanan at mga propesyonal na kapaligiran. Sinumang nag-install ng mga translation extension, ad blocker, o VPN nitong mga nakaraang taon ay maaaring na-expose kung ang add-on ay nasa listahan ng mga malisyosong malware.
Ginagamit ng mga awtoridad sa Europa at mga pangkat ng pagtugon ang mga ulat mula sa mga kumpanyang tulad ng KOI at LayerX bilang sanggunian para sa i-update ang iyong mga alerto at pamantayan sa seguridad ng computerAng pangkalahatang rekomendasyon ay ang pana-panahong pagsusuri ng mga naka-install na extension at pag-uninstall ng mga hindi na ginagamit o hindi malinaw ang pinagmulan. Hindi bihira na maipon ang mga add-on na ginamit nang isang beses at pagkatapos ay nakalimutan, ngunit mayroon pa ring access sa browser.
Upang mabawasan ang mga panganib, ipinapayo ng mga espesyalista unahin ang mga extension na binuo ng mga kinikilalang entitySuriin ang mga rating at bilang ng mga gumagamit, at maging maingat sa mga solusyon na nangangako ng napakaraming feature sa iisang pakete. Inirerekomenda rin na suriin ang mga pahintulot na hinihiling bago i-install, lalo na kapag ang isang add-on ay humihingi ng ganap na access sa lahat ng data sa pag-browse nang hindi ito tila mahigpit na kinakailangan.
Sa sektor ng negosyo, kung saan ang pag-browse ay kadalasang kinabibilangan ng pag-access sa sensitibong impormasyon at mga panloob na serbisyo, isinasama ng mga organisasyong Europeo ang mga partikular na patakaran upang kontrolin kung aling mga extension ang maaaring gamitin sa mga corporate computerKabilang sa mga karaniwang hakbang ang paggawa ng mga whitelist ng mga pinapayagang add-on, sentralisadong pagsubaybay, at paggamit ng mga solusyon sa seguridad na may kakayahang subaybayan ang aktibidad ng browser.
Para sa mga indibidwal na gumagamit na naghihinala na nag-install sila ng isang potensyal na malisyosong extension, inirerekomenda ng mga eksperto Alisin ang add-on, magpatakbo ng isang scan gamit ang isang maaasahang antivirus. At kung magpapatuloy ang mga pagdududa, kumunsulta sa isang cybersecurity professional. Sa mga kumplikadong kampanya tulad ng GhostPoster, ang pag-uninstall lamang ng malware ay maaaring hindi sapat kung may karagdagang malware na naka-install sa system.
Itinatampok ng kaso ng GhostPoster ang lawak kung saan Maaaring mapanganib ang basta pagtitiwala sa mga opisyal na extension storeBagama't nananatili silang pinakaligtas na channel laban sa mga download mula sa mga hindi kilalang website, ipinapakita ng karanasan na hindi sila nagkakamali at alam ng mga umaatake kung paano umangkop sa kanilang mga kontrol. Ang kombinasyon ng mas kritikal na paggamit ng mga gumagamit, mas mahigpit na proseso ng pagsusuri, at patuloy na pagsubaybay ng mga kompanya ng seguridad ang magiging susi sa pagsugpo sa mga katulad na kampanya sa hinaharap.
