Тот случай, когда логотип опаснее программы. В Firefox Add-ons нашли 17 расширений с «сюрпризом» внутри
NewsMakerВредоносный код не могли обнаружить месяцами, потому что хакеры спрятали его у всех на виду.
Специалисты Koi Security зафиксировали новую вредоносную кампанию под названием GhostPoster, нацеленную на пользователей браузера Firefox . В её рамках злоумышленники распространяли расширения, которые внешне выглядели безобидно и даже набрали десятки тысяч установок, но при этом содержали скрытую угрозу. Необычность атаки заключается в способе маскировки — вредоносный код был спрятан прямо в графических файлах с логотипами дополнений.
Речь идёт как минимум о 17 расширениях. Во всех случаях логотип в формате PNG использовался как контейнер для JavaScript-кода, внедрённого с применением стеганографии . Этот код выполнял роль загрузчика и обеспечивал постоянный доступ к браузеру с повышенными привилегиями. После активации он позволял перехватывать партнёрские ссылки, внедрять сторонний аналитический код и участвовать в рекламном и клик-фроде .
Для усложнения обнаружения загрузчик большую часть времени бездействовал и обращался к удалённому серверу лишь в одном из десяти случаев. Кроме того, он активировался только спустя 48 часов после установки расширения. Основная нагрузка загружалась с заранее заданного домена, а при сбое использовался резервный адрес. Полученный код проходил многоступенчатую обработку — обфускацию, декодирование из base64 и дополнительное шифрование с использованием ключа, связанного с идентификатором расширения.
Хотя цепочки загрузки могли отличаться, все выявленные расширения демонстрировали схожее поведение и взаимодействовали с одной инфраструктурой управления. Среди скомпрометированных оказались дополнения из популярных категорий, включая VPN-сервисы, переводчики, погодные информеры и инструменты для работы с веб-страницами.
Специалисты Koi Security зафиксировали новую вредоносную кампанию под названием GhostPoster, нацеленную на пользователей браузера Firefox . В её рамках злоумышленники распространяли расширения, которые внешне выглядели безобидно и даже набрали десятки тысяч установок, но при этом содержали скрытую угрозу. Необычность атаки заключается в способе маскировки — вредоносный код был спрятан прямо в графических файлах с логотипами дополнений.
Речь идёт как минимум о 17 расширениях. Во всех случаях логотип в формате PNG использовался как контейнер для JavaScript-кода, внедрённого с применением стеганографии . Этот код выполнял роль загрузчика и обеспечивал постоянный доступ к браузеру с повышенными привилегиями. После активации он позволял перехватывать партнёрские ссылки, внедрять сторонний аналитический код и участвовать в рекламном и клик-фроде .
Для усложнения обнаружения загрузчик большую часть времени бездействовал и обращался к удалённому серверу лишь в одном из десяти случаев. Кроме того, он активировался только спустя 48 часов после установки расширения. Основная нагрузка загружалась с заранее заданного домена, а при сбое использовался резервный адрес. Полученный код проходил многоступенчатую обработку — обфускацию, декодирование из base64 и дополнительное шифрование с использованием ключа, связанного с идентификатором расширения.
Хотя цепочки загрузки могли отличаться, все выявленные расширения демонстрировали схожее поведение и взаимодействовали с одной инфраструктурой управления. Среди скомпрометированных оказались дополнения из популярных категорий, включая VPN-сервисы, переводчики, погодные информеры и инструменты для работы с веб-страницами.