Nettleserutvidelser har blitt et hverdagsverktøy for millioner av brukere som ønsker Forbedre opplevelsen din i Chrome, Firefox eller Edge.De brukes til å oversette nettsider, blokkere annonser, administrere passord eller øke hastigheten på nettlesing, og de installeres vanligvis med bare et par klikk fra offisielle appbutikker. Nettopp på grunn av denne bekvemmeligheten sjekker mange knapt hvem som står bak hvert tillegg eller hvilke tillatelser det ber om.
Denne forsømmelsen åpner døren for at nettkriminelle kan bruke utvidelser som stille kanal for spionasje og datatyveriEn nylig kampanje, kalt GhostPoster, har gjort det klart hvor farlig denne vektoren er: falske utvidelser integreres som om de var legitime, fungerer tilsynelatende normalt og kan forbli aktive i årevis uten å vekke mistanke mens de overvåker brukeraktivitet.
Hva er GhostPoster-kampanjen, og hvorfor er den bekymringsfull?
Undersøkelser utført av flere cybersikkerhetsfirmaer, inkludert KOI og LayerXDe har avdekket en storstilt operasjon som utnytter de offisielle utvidelseslagrene til Mozilla Firefox, Google Chrome og Microsoft Edge. Under GhostPoster-kampanjen har det blitt identifisert dusinvis av tilleggsprogrammer som til sammen ... De overstiger 840 000 installasjoner på verdensbasis, et tall som gir en idé om omfanget av problemet.
Disse ondsinnede utvidelsene er kamuflert som hverdagsverktøy: Sideoversettere, annonseblokkere, såkalte VPN-er eller verktøy for å administrere nedlastinger. Når de er installert, kjører de i bakgrunnen, overvåker hva offeret gjør i nettleseren, får tilgang til nettleserdata og, i noen tilfeller, aktiverer bakdører som tillater fjernkontroll av utstyret.
Det som er spesielt bekymringsfullt er at mange av disse utvidelsene har vært tilgjengelige lenge i offisielle kataloger, noe som betyr at De har bestått vurderingsfiltrene til Chrome Nettmarked, Firefox-tillegg og Edge-butikken.Ifølge analysene som er publisert, har noen vært i drift siden 2020, noe som har gjort at kampanjen har kunnet forbli aktiv på en vedvarende måte og uten større forstyrrelser.
Innenfor GhostPoster har eksperter også identifisert en mer avansert og unnvikende variant som på egenhånd har oppnådd mer enn 3.800 installasjoner. Denne grenen skiller seg ut for sin evne til å omgå kontroller og blande seg inn med tilsynelatende legitime utvidelser, noe som gjør det enda vanskeligere for brukere å innse at noe er galt.
Hvordan ondsinnede utvidelser bak GhostPoster fungerer
Nettleserutvidelser, enten for Chrome, Firefox eller Edge, er dypt integrert med programvaren og kan lese og endre innholdet på nettsiderDette inkluderer tilgang til informasjonskapsler, nettleserlogg og, i noen tilfeller, samhandling med operativsystemet. Når en utvidelse er godt designet, tjener alt dette til å gi nyttige funksjoner; når den er skadelig, blir den samme tilgangen et presisjonsvåpen for angripere.
I tilfellet med GhostPoster er nøkkelen at den skadelige komponenten er nøye skjult. Undersøkelser tyder på at de ansvarlige for kampanjen De skjuler deler av JavaScript-koden inne i PNG-bildet av utvidelsesikonet.Denne teknikken, kjent som steganografi, gjør at informasjon kan kamufleres i tilsynelatende uskyldige filer, slik at man ved første øyekast bare ser en vanlig logo, men inni ligger koden som senere skal kjøres.
Denne skjulte koden aktiveres når utvidelsen er installert og er ansvarlig for spionere på brukeraktivitet i sanntidDen kan registrere hvilke sider som besøkes, hvilke skjemaer som fylles ut eller hvilke tjenester som brukes, samt fange opp sensitiv informasjon som påloggingsinformasjon eller økttokener. I visse tilfeller laster den også ned tilleggsmoduler som til slutt... åpne en bakdør i det berørte utstyret, noe som gir angripere muligheten til å koble seg til eksternt.
Ved å bruke steganografi sørger nettkriminelle for at den skadelige komponenten går relativt ubemerket hen under automatiserte gjennomganger av utvidelseslagre. Analysesystemer gjennomgår vanligvis synlig kode og deklarert oppførselDe kan imidlertid mislykkes i å oppdage at den virkelige kjernen i angrepet er skjult i et enkelt bilde. Denne tilnærmingen øker vanskeligheten for plattformer som prøver å begrense distribusjonen av falske plugins.
Videre etterligner tilleggene som er lenket til GhostPoster ganske trofast funksjonene til de legitime verktøyene de hevder å ligne på. De tilbyr for eksempel sideoversettelse eller grunnleggende annonseblokkering, noe som forsterker følelsen av normalitet. Så lenge brukeren mener de bruker en nyttig utvidelse, I bakgrunnen genereres en konstant strøm av informasjon mot serverne som kontrolleres av angriperen..
KOI og LayerXs rolle i oppdagelsen av kampanjen
GhostPoster-skandalen skjedde ikke over natten. I løpet av desember rapporterte analytikere fra sikkerhetsfirmaet KOI De oppdaget en innledende gruppe på 17 ondsinnede utvidelser publisert i den offisielle Mozilla Firefox-butikken. Alle disse var rettet mot brukere som lette etter vanlige verktøy, og hadde til sammen over 50 000 nedlastinger.
Kort tid etter fortsatte cybersikkerhetsselskapet LayerX etterforskningen og lokaliserte en annen pakke med 17 lignende tillegg distribuert gjennom katalogene til Microsoft Edge og Google Chrome. Med disse nye deteksjonene økte det totale antallet installasjoner knyttet til GhostPoster til over 840 000 på tvers av de tre nettleserne, noe som gjorde det til en kampanje med betydelig global innvirkning.
De publiserte rapportene beskriver at Alle disse utvidelsene delte atferdsmønstre og svært like tekniske strukturer, noe som førte til konklusjonen at de var en del av det samme koordinerte opplegget. Blant de identifiserte målene var navigasjonsovervåking i sanntid, masseinnsamling av datainnsamling og stille innføring av bakdører i utstyret.
Under analysen understreket KOI og LayerX at Operasjon GhostPoster ikke er en isolert hendelse, men snarere et eksempel på en strategi som har blitt vedvart over flere år å utnytte utvidelsesøkosystemet. Forskerne understreker at kombinasjonen av et stort volum av installasjoner og sen deteksjon har gitt angriperne mulighet til å opprettholde sine aktive kampanjer med god manøvreringsplass.
Ifølge eksperter står nettleserleverandørene selv overfor en kompleks oppgave: oppdage skadelige verktøy som etterligner populære tjenesterSelv om det finnes automatiserte kontroller og gjennomgangsprosesser, viser erfaring at de ikke alltid er tilstrekkelige til å stoppe utvidelser som bruker avanserte skjulingstaktikker som de man ser i GhostPoster.
Hvem står bak: Darkspectre-gruppen og deres tidligere kampanjer
Etterforskningen peker mot en kjent aktør innen cybersikkerhet: DarkspectorDenne gruppen har brukt nettleserutvidelser til å distribuere skadelig programvare i årevis, og har fått æren for tidligere operasjoner som ShadyPanda og The Zoom Stealer, som deler tekniske ressurser og infrastruktur med GhostPoster.
I følge dataene som er samlet inn, har Darkspectre perfeksjonert taktikken sin over tid. Tidligere kampanjer har allerede vist en spesiell interesse for å infiltrere gjennom tilsynelatende pålitelige kanaler., som offisielle tilbehørsbutikker. GhostPoster ville i så måte være en videreutvikling av en bransje som søker å maksimere rekkevidden uten å skape umiddelbar alarm.
LayerX forklarer at sporing av infrastrukturen som brukes i GhostPoster, ShadyPanda og The Zoom Stealer har tillatt å dokumentere den tekniske utviklingen av disse trusleneForskere har observert hvordan domener, servere og kodefragmenter gjenbrukes i ulike angrep, og tilpasset verktøyene til sikkerhetstiltakene som er implementert av plattformene.
Et av elementene som bekymrer sikkerhetsfirmaer mest er at Noen utvidelser knyttet til Darkspectre har angivelig vært aktive siden 2020 uten å bli oppdaget. Denne vedvarende påvirkningen fremhever både angripernes sofistikerte karakter og begrensningene til automatiserte vurderingssystemer, som ikke alltid er i stand til å identifisere ondsinnede mønstre når de er skjult i uvanlige komponenter, for eksempel grafiske ikoner.
Rapportene viser også at fra et operativt synspunkt, GhostPoster bruker svært raffinerte unnvikelsesteknikkerDisse tiltakene inkluderer forsinket lasting av komponenter, aktivering kun under spesifikke navigasjonsforhold og bruk av diskret kommunikasjon med kommando- og kontrollservere. Alt dette bidrar til å redusere støy og holde seg unna radar så lenge som mulig.
Utvidelser, en stadig vanligere angrepsvektor
Utover GhostPoster har eksperter lenge advart om at utvidelser er et tilbakevendende mål for nettkriminellePopulariteten deres og tilliten de skaper ved angivelig å komme fra offisielle butikker, gjør dem til en ideell kanal for å snike inn skadelig programvare uten at brukeren mistenker noe.
I mange tilfeller laster ofrene ned disse tilleggene fordi De lover attraktive og gratis funksjonerDisse utvidelsene kan hjelpe deg med å: fjerne påtrengende annonser, forbedre personvernet, øke hastigheten på nettleseren din eller automatisere repeterende oppgaver. Problemet er at når tillatelser er gitt, kan utvidelsen få tilgang til en betydelig mengde informasjon uten å måtte be om autorisasjon på nytt.
Kampanjer som GhostPoster viser at selv når utvidelsen leverer på noen av løftene sine, kan utføre skjulte aktiviteterMed andre ord kan plugin-modulen blokkere annonser eller oversette sider normalt, men samtidig samle inn nettleserdata, fange opp legitimasjon eller kommunisere med eksterne servere for å laste ned nye instruksjoner.
Bruk av teknikker som bildesteganografi eller utførelse av obfuskert kode hindrer analyseoppgaven i stor grad. Tradisjonelle sikkerhetssystemer har en tendens til å se etter kjente mønstreMen når ondsinnet kode gjemmer seg i grafikkfiler eller distribueres i små deler mellom ulike komponenter, blir identifisering mye mer komplisert.
Dette scenariet tvinger både nettleserutviklere og utvidelsesbutikkene selv til å styrke verifiseringsmekanismeneEksperter påpeker at det vil være nødvendig å kombinere dypere automatisert analyse, manuelle revisjoner og større overvåking av den faktiske oppførselen til utvidelser når de er publisert, spesielt de som oppnår et høyt antall installasjoner på kort tid.
Innvirkning på brukere i Europa og grunnleggende anbefalinger
GhostPoster-kampanjen har global rekkevidde, men Det påvirker også brukere i Spania og resten av Europa.I Storbritannia står Chrome, Firefox og Edge for nesten all nettleserbruk i hjemme- og arbeidsmiljøer. Alle som har installert oversettelsesutvidelser, annonseblokkering eller VPN-er de siste årene, kunne ha blitt eksponert hvis tillegget var på listen over skadelige programmer.
Europeiske myndigheter og responsteam bruker rapporter fra selskaper som KOI og LayerX som referanse for oppdater varslene dine og datasikkerhetsstandarderDen generelle anbefalingen er å jevnlig gjennomgå installerte utvidelser og avinstallere de som ikke lenger brukes eller hvis opprinnelse er uklar. Det er ikke uvanlig å samle opp tillegg som ble brukt én gang og deretter glemt, men som fortsatt har tilgang til nettleseren.
For å redusere risikoen anbefaler spesialister prioritere utvidelser utviklet av anerkjente enheterSjekk vurderingene og antallet brukere, og vær forsiktig med løsninger som lover for mange funksjoner i én pakke. Det anbefales også å gjennomgå tillatelsene som forespurtes før installasjon, spesielt når et tillegg ber om full tilgang til alle nettleserdata uten at det virker strengt nødvendig.
I næringslivet, hvor nettlesing ofte innebærer tilgang til sensitiv informasjon og interne tjenester, innfører europeiske organisasjoner spesifikke retningslinjer for å kontrollere hvilke utvidelser som kan brukes på bedriftens datamaskinerVanlige tiltak inkluderer å opprette hvitelister over tillatte tillegg, sentralisert overvåking og bruk av sikkerhetsløsninger som kan overvåke nettleseraktivitet.
For individuelle brukere som mistenker at de har installert en potensielt skadelig utvidelse, anbefaler eksperter Fjern tillegget, kjør en skanning med et pålitelig antivirusprogram. Og hvis tvilen vedvarer, bør du kontakte en ekspert på cybersikkerhet. I komplekse kampanjer som GhostPoster er det kanskje ikke nok å bare avinstallere skadelig programvare hvis ytterligere skadelig programvare er installert på systemet.
GhostPoster-saken fremhever i hvilken grad Det kan være risikabelt å blindt stole på offisielle utvidelsesbutikkerSelv om de fortsatt er den sikreste kanalen mot nedlastinger fra ukjente nettsteder, viser erfaring at de ikke er ufeilbarlige, og at angripere vet hvordan de skal tilpasse seg kontrollene sine. En kombinasjon av mer kritisk bruk fra brukernes side, strengere gjennomgangsprosesser og kontinuerlig overvåking fra sikkerhetsselskaper vil være nøkkelen til å dempe lignende kampanjer i fremtiden.
