- 19.08.16
- 4,133
- 666 ₽
- 97
Вредоносный код не могли обнаружить месяцами, потому что хакеры спрятали его у всех на виду.
Специалисты Koi Security зафиксировали новую вредоносную кампанию под названием GhostPoster, нацеленную на пользователей браузера Firefox. В её рамках злоумышленники распространяли расширения, которые внешне выглядели безобидно и даже набрали десятки тысяч установок, но при этом содержали скрытую угрозу. Необычность атаки заключается в способе маскировки — вредоносный код был спрятан прямо в графических файлах с логотипами дополнений.
Речь идёт как минимум о 17 расширениях. Во всех случаях логотип в формате PNG использовался как контейнер для JavaScript-кода, внедрённого с применением стеганографии. Этот код выполнял роль загрузчика и обеспечивал постоянный доступ к браузеру с повышенными привилегиями. После активации он позволял перехватывать партнёрские ссылки, внедрять сторонний аналитический код и участвовать в рекламном и клик-фроде.
Для усложнения обнаружения загрузчик большую часть времени бездействовал и обращался к удалённому серверу лишь в одном из десяти случаев. Кроме того, он активировался только спустя 48 часов после установки расширения. Основная нагрузка загружалась с заранее заданного домена, а при сбое использовался резервный адрес. Полученный код проходил многоступенчатую обработку — обфускацию, декодирование из base64 и дополнительное шифрование с использованием ключа, связанного с идентификатором расширения.
Хотя цепочки загрузки могли отличаться, все выявленные расширения демонстрировали схожее поведение и взаимодействовали с одной инфраструктурой управления. Среди скомпрометированных оказались дополнения из популярных категорий, включая VPN-сервисы, переводчики, погодные информеры и инструменты для работы с веб-страницами.
Финальный вредоносный модуль не занимался кражей паролей и не перенаправлял пользователей на фишинговые сайты, однако существенно подрывал конфиденциальность. Он внедрял скрытые фреймы для рекламы, удалял защитные заголовки HTTP, обходил системы CAPTCHA и добавлял отслеживание посещаемых страниц.
По мнению Koi Security, применяемый в GhostPoster механизм доставки делает кампанию особенно опасной, так как в любой момент оператор может заменить нагрузку на более разрушительную. Пользователям, установившим упомянутые расширения, рекомендовано удалить их и сменить пароли от важных учётных записей.
На момент подготовки материала часть вредоносных дополнений всё ещё оставалась доступной в каталоге Firefox Add-ons. Mozilla была уведомлена о ситуации, однако оперативного комментария компания не предоставила.
Специалисты Koi Security зафиксировали новую вредоносную кампанию под названием GhostPoster, нацеленную на пользователей браузера Firefox. В её рамках злоумышленники распространяли расширения, которые внешне выглядели безобидно и даже набрали десятки тысяч установок, но при этом содержали скрытую угрозу. Необычность атаки заключается в способе маскировки — вредоносный код был спрятан прямо в графических файлах с логотипами дополнений.
Речь идёт как минимум о 17 расширениях. Во всех случаях логотип в формате PNG использовался как контейнер для JavaScript-кода, внедрённого с применением стеганографии. Этот код выполнял роль загрузчика и обеспечивал постоянный доступ к браузеру с повышенными привилегиями. После активации он позволял перехватывать партнёрские ссылки, внедрять сторонний аналитический код и участвовать в рекламном и клик-фроде.
Для усложнения обнаружения загрузчик большую часть времени бездействовал и обращался к удалённому серверу лишь в одном из десяти случаев. Кроме того, он активировался только спустя 48 часов после установки расширения. Основная нагрузка загружалась с заранее заданного домена, а при сбое использовался резервный адрес. Полученный код проходил многоступенчатую обработку — обфускацию, декодирование из base64 и дополнительное шифрование с использованием ключа, связанного с идентификатором расширения.
Хотя цепочки загрузки могли отличаться, все выявленные расширения демонстрировали схожее поведение и взаимодействовали с одной инфраструктурой управления. Среди скомпрометированных оказались дополнения из популярных категорий, включая VPN-сервисы, переводчики, погодные информеры и инструменты для работы с веб-страницами.
Финальный вредоносный модуль не занимался кражей паролей и не перенаправлял пользователей на фишинговые сайты, однако существенно подрывал конфиденциальность. Он внедрял скрытые фреймы для рекламы, удалял защитные заголовки HTTP, обходил системы CAPTCHA и добавлял отслеживание посещаемых страниц.
По мнению Koi Security, применяемый в GhostPoster механизм доставки делает кампанию особенно опасной, так как в любой момент оператор может заменить нагрузку на более разрушительную. Пользователям, установившим упомянутые расширения, рекомендовано удалить их и сменить пароли от важных учётных записей.
На момент подготовки материала часть вредоносных дополнений всё ещё оставалась доступной в каталоге Firefox Add-ons. Mozilla была уведомлена о ситуации, однако оперативного комментария компания не предоставила.
