17 új, a GhostPoster kampányhoz köthető rosszindulatú böngészőbővítményt azonosítottak a Chrome, a Firefox és az Edge áruházaiban, amelyek együttesen mintegy 840 ezer telepítést értek el. A GhostPoster kampányt először a Koi Security kutatói fedezték fel decemberben. Vizsgálatuk során 17 olyan böngészőbővítményt azonosítottak, amelyek a logóképeikbe rejtett rosszindulatú JavaScript-kódot tartalmaztak. Ez a kód figyelte a felhasználók böngészési tevékenységét, valamint egy hátsó backdoort is telepített.A kártékony komponens egy erősen obfuszkált payloadot tölt le egy külső forrásból. Ez a csomag nyomon követi az áldozat böngészési szokásait, manipulálja a nagy e-kereskedelmi platformokon található affiliate-hivatkozásokat, továbbá láthatatlan iframe-eket injektál hirdetési és kattintási csalások végrehajtásához.A LayerX böngészőbiztonsági platform friss jelentése szerint a kampány a leleplezés ellenére továbbra is aktív. Az alábbi 17 kiterjesztés biztosan fertőzött:
- Google Translate in Right Click
- Translate Selected Text with Google
- Ads Block Ultimate
- Floating Player – PiP Mode
- Convert Everything
- Youtube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
A kutatók megállapítása szerint a kampány eredetileg Microsoft Edge környezetből indult, majd ezt követően terjedt át a Firefox és a Chrome ökoszisztémájára. A LayerX azt is megállapította, hogy a felsorolt kiterjesztések közül több már 2020 óta jelen volt a böngészők bővítménytáraiban, ami azt jelenti, hogy a GhostPoster egy hosszú távon, sikeresen működtetett kampány.
Bár az elrejtési technikák és az aktiválás utáni működés nagy része megegyezik a Koi Security által korábban dokumentáltakkal, a LayerX egy fejlettebb variánst azonosított az „Instagram Downloader” nevű kiterjesztésben. Ennél a változatnál a támadók a rosszindulatú betöltési logikát a kiterjesztés háttérszkriptjébe helyezték át, és egy csomagolt képfájlt használtak rejtett payloadtárolóként, nem csupán ikonként.
Futásidőben a háttérszkript átvizsgálja a képfájl nyers bájtjait egy meghatározott elválasztójel (>>>>) után kutatva, majd kinyeri az ott elrejtett adatot, eltárolja a bővítmény helyi tárhelyén, később pedig Base64-dekódolást követően JavaScript-kódként végrehajtja azt. A LayerX értékelése szerint ez a többlépcsős végrehajtási folyamat egyértelműen a hosszabb idejű rejtőzködés, a modularitás és a statikus, illetve viselkedésalapú detektálási mechanizmusokkal szembeni nagyobb ellenállóképesség irányába mutató fejlődést jelzi.
Ezek az újonnan azonosított kiterjesztések már nem érhetők el a Mozilla és a Microsoft bővítmény-áruházaiban, ugyanakkor azok a felhasználók, akik korábban már telepítették őket, továbbra is kockázatnak lehetnek kitéve.
