Zgjerimet e shfletuesit janë bërë një mjet i përditshëm për miliona përdorues që duan Përmirësoni përvojën tuaj në Chrome, Firefox ose Edge.Ato përdoren për të përkthyer faqet e internetit, për të bllokuar reklamat, për të menaxhuar fjalëkalimet ose për të shpejtuar shfletimin, dhe në përgjithësi instalohen vetëm me disa klikime nga dyqanet zyrtare të aplikacioneve. Pikërisht për shkak të kësaj lehtësie, shumë njerëz mezi kontrollojnë se kush qëndron pas secilës shtesë ose çfarë lejesh kërkon.
Kjo mbikëqyrje u hap derën kriminelëve kibernetikë që të përdorin zgjerimet si kanal i heshtur për spiunazh dhe vjedhje të dhënashNjë fushatë e kohëve të fundit, e quajtur GhostPoster, e ka bërë të qartë se sa i rrezikshëm është ky vektor: zgjerimet mashtruese integrohen sikur të ishin legjitime, funksionojnë me normalitet të dukshëm dhe mund të mbeten aktive për vite me radhë pa ngritur dyshime ndërsa monitorojnë aktivitetin e përdoruesit.
Çfarë është fushata GhostPoster dhe pse është shqetësuese?
Hetimet nga disa firma të sigurisë kibernetike, duke përfshirë KOI dhe LayerXAta kanë zbuluar një operacion në shkallë të gjerë që shfrytëzon dyqanet zyrtare të zgjerimeve të Mozilla Firefox, Google Chrome dhe Microsoft Edge. Sipas fushatës GhostPoster, janë identifikuar dhjetëra shtesa që, të marra së bashku, Ato tejkalojnë 840.000 instalime në mbarë botën, një shifër që jep një ide mbi shkallën e problemit.
Këto zgjerime dashakeqe janë të maskuara si mjete të përditshme: Përkthyes faqesh, bllokues reklamash, të ashtuquajturat VPN ose programe ndihmëse për menaxhimin e shkarkimeve. Pasi instalohen, ato funksionojnë në sfond, duke monitoruar atë që bën viktima në shfletues, duke aksesuar të dhënat e shfletimit dhe, në disa raste, duke aktivizuar dyert e pasme që lejojnë kontrollin e pajisjeve nga distanca.
Ajo që është veçanërisht shqetësuese është se shumë nga këto zgjerime kanë qenë të disponueshme për një kohë të gjatë në katalogët zyrtarë, që do të thotë se Ata kanë kaluar filtrat e shqyrtimit të Chrome Web Store, shtesave të Firefox dhe dyqanit Edge.Sipas analizave të publikuara, disa prej tyre kanë qenë funksionale që nga viti 2020, gjë që i ka lejuar fushatës të mbetet aktive në një mënyrë të qëndrueshme dhe pa ndërprerje të mëdha.
Brenda GhostPoster, ekspertët kanë identifikuar gjithashtu një variant më i avancuar dhe i pakapshëm e cila, më vete, ka arritur më shumë se 3.800 instalime. Kjo degë dallohet për aftësinë e saj për t'iu shmangur kontrolleve dhe për t'u përzier me zgjerime në dukje legjitime, duke e bërë edhe më të vështirë për përdoruesit të kuptojnë se diçka nuk shkon.
Si funksionojnë zgjerimet keqdashëse pas GhostPoster
Zgjerimet e shfletuesit, qofshin ato për Chrome, Firefox apo Edge, janë të integruara thellësisht me softuerin dhe mund të... lexoni dhe modifikoni përmbajtjen e faqeve të internetitKjo përfshin aksesin në cookie-t, historikun e shfletimit dhe, në disa raste, bashkëveprimin me sistemin operativ. Kur një zgjerim është i projektuar mirë, e gjithë kjo shërben për të ofruar funksione të dobishme; kur është keqdashës, i njëjti akses bëhet një armë precize për sulmuesit.
Në rastin e GhostPoster, çelësi është se përbërësi i dëmshëm është fshehur me kujdes. Hetimet tregojnë se ata që janë përgjegjës për fushatën Ata fshehin një pjesë të kodit JavaScript brenda imazhit PNG të ikonës së zgjerimit.Kjo teknikë, e njohur si steganografi, lejon që informacioni të kamuflohet në skedarë në dukje të padëmshëm, në mënyrë që në shikim të parë të shihet vetëm një logo normale, por brenda është kodi që do të ekzekutohet më vonë.
Ky kod i fshehur aktivizohet pasi të instalohet zgjerimi dhe është përgjegjës për spiunoni aktivitetin e përdoruesit në kohë realeMund të regjistrojë se cilat faqe vizitohen, cilët formularë plotësohen ose cilat shërbime përdoren, si dhe të kapë informacione të ndjeshme siç janë kredencialet ose tokenët e sesionit. Në raste të caktuara, ai gjithashtu shkarkon module shtesë që në fund të fundit... hap një derë të pasme në pajisjet e prekura, duke u dhënë sulmuesve mundësinë për t'u lidhur nga distanca.
Duke përdorur steganografinë, kriminelët kibernetikë e bëjnë komponentin keqdashës të kalojë relativisht pa u vënë re gjatë shqyrtimeve automatike të dyqaneve të zgjerimeve. Sistemet e analizës zakonisht shqyrtojnë kodin e dukshëm dhe sjelljen e deklaruar.Megjithatë, ata mund të mos arrijnë të zbulojnë se thelbi i vërtetë i sulmit fshihet brenda një imazhi të thjeshtë. Kjo qasje rrit vështirësinë për platformat që përpiqen të frenojnë shpërndarjen e plugin-eve mashtruese.
Për më tepër, shtesat e lidhura me GhostPoster imitojnë me mjaft besnikëri funksionet e mjeteve legjitime që pretendojnë se u ngjajnë. Ato ofrojnë, për shembull, përkthimin e faqeve ose bllokimin bazë të reklamave, gjë që përforcon ndjesinë e normalitetit. Për sa kohë që përdoruesi beson se po përdor një zgjerim të dobishëm, Në sfond, një rrjedhë e vazhdueshme informacioni po gjenerohet drejt serverave të kontrolluar nga sulmuesi..
Roli i KOI dhe LayerX në zbulimin e fushatës
Skandali i GhostPoster nuk ndodhi brenda natës. Gjatë dhjetorit, analistët nga firma e sigurisë KOI Ata zbuluan një grup fillestar prej 17 shtesash keqdashëse të publikuara në dyqanin zyrtar të Mozilla Firefox. Të gjitha kishin në shënjestër përdoruesit që kërkonin shërbime të zakonshme dhe, së bashku, kishin mbi 50.000 shkarkime.
Menjëherë pas kësaj, kompania e sigurisë kibernetike LayerX vazhdoi hetimin dhe e gjeti një paketë tjetër me 17 shtesa të ngjashme shpërndahet përmes katalogëve Microsoft Edge dhe Google Chrome. Me këto zbulime të reja, numri i përgjithshëm i instalimeve të lidhura me GhostPoster u rrit në mbi 840.000 në të tre shfletuesit, duke e bërë atë një fushatë me një ndikim të rëndësishëm global.
Raportet e publikuara detajojnë se Të gjitha këto zgjerime ndanin modele sjelljeje dhe struktura teknike shumë të ngjashme, duke çuar në përfundimin se ato ishin pjesë e së njëjtës skemë të koordinuar. Ndër objektivat e identifikuara ishin monitorimi i navigimit në kohë reale, mbledhja masive e të dhënave dhe futja e heshtur e dyerve të pasme në pajisje.
Gjatë analizës, KOI dhe LayerX theksuan se Operacioni GhostPoster nuk është një incident i izoluar, por më tepër një shembull i një strategji e zbatuar gjatë disa viteve për të shfrytëzuar ekosistemin e zgjerimit. Studiuesit theksojnë se kombinimi i një vëllimi të madh instalimesh dhe zbulimit të vonë u ka lejuar sulmuesve të mbajnë fushatat e tyre aktive me hapësirë të mjaftueshme për të manovruar.
Sipas ekspertëve, vetë shitësit e shfletuesve përballen me një detyrë komplekse: zbuloni mjete dashakeqe që imitojnë shërbimet populloreEdhe pse ekzistojnë kontrolle dhe procese rishikimi të automatizuara, përvoja tregon se ato nuk janë gjithmonë të mjaftueshme për të ndaluar zgjerimet që përdorin taktika të avancuara fshehjeje si ato që shihen në GhostPoster.
Kush qëndron pas kësaj: grupi Darkspectre dhe fushatat e tyre të mëparshme
Hetimi tregon një lojtar të njohur në fushën e sigurisë kibernetike: Spektri i ErrëtKy grup ka përdorur zgjerime të shfletuesve për të shpërndarë programe keqdashëse për vite me radhë dhe i atribuohet operacioneve të mëparshme si ShadyPanda dhe The Zoom Stealer, të cilat ndajnë burimet teknike dhe infrastrukturën me GhostPoster.
Sipas të dhënave të mbledhura, Darkspectre i ka përsosur taktikat e saj me kalimin e kohës. Fushatat e mëparshme kanë treguar tashmë një interes të veçantë për të infiltruar përmes kanaleve në dukje të besueshme., si dyqanet zyrtare të aksesorëve. GhostPoster do të ishte, në këtë kuptim, një evolucion i një linje pune që kërkon të maksimizojë shtrirjen pa ngritur alarm të menjëhershëm.
LayerX shpjegon se gjurmimi i infrastrukturës së përdorur në GhostPoster, ShadyPanda dhe The Zoom Stealer ka lejuar për të dokumentuar evolucionin teknik të këtyre kërcënimeveStudiuesit kanë vëzhguar se si domenet, serverat dhe fragmentet e kodit ripërdoren në sulme të ndryshme, duke i përshtatur mjetet me masat e sigurisë të zbatuara nga platformat.
Një nga elementët që shqetëson më shumë firmat e sigurisë është se Disa zgjerime të lidhura me Darkspectre thuhet se kanë mbetur aktive që nga viti 2020. pa u zbuluar. Kjo këmbëngulje nxjerr në pah si sofistikimin e sulmuesve ashtu edhe kufizimet e sistemeve të automatizuara të rishikimit, të cilat nuk janë gjithmonë në gjendje të identifikojnë modelet keqdashëse kur ato janë të fshehura në komponentë të pazakontë, siç janë ikonat grafike.
Raportet tregojnë gjithashtu se, nga një këndvështrim operativ, GhostPoster mbështetet në teknika shumë të rafinuara shmangiejeKëto masa përfshijnë ngarkimin e vonuar të komponentëve, aktivizimin vetëm në kushte specifike navigimi dhe përdorimin e komunikimeve diskrete me serverat e komandës dhe kontrollit. Të gjitha këto kontribuojnë në uljen e zhurmës dhe qëndrimin jashtë radarit për sa më gjatë të jetë e mundur.
Zgjerimet, një vektor sulmi gjithnjë e më i zakonshëm
Përtej GhostPoster, ekspertët kanë paralajmëruar prej kohësh se zgjerimet janë një objektiv i përsëritur për kriminelët kibernetikëPopullariteti i tyre dhe besimi që gjenerojnë duke supozuar se vijnë nga dyqane zyrtare i bëjnë ato një kanal ideal për të futur fshehurazi softuerë dashakeq pa dyshuar përdoruesi për asgjë.
Në shumë raste, viktimat i shkarkojnë këto shtesa sepse Ata premtojnë karakteristika tërheqëse dhe falasKëto shtesa mund t'ju ndihmojnë: të hiqni reklamat ndërhyrëse, të përmirësoni privatësinë, të shpejtoni shfletuesin tuaj ose të automatizoni detyrat e përsëritura. Problemi është se, pasi të jepen lejet, shtesa mund të hyjë në një sasi të konsiderueshme informacioni pa pasur nevojë të kërkojë përsëri autorizim.
Fushatat si GhostPoster demonstrojnë se, edhe kur zgjerimi përmbush disa nga premtimet e tij, mund të kryejë aktivitete të fshehtaMe fjalë të tjera, shtojca mund të bllokojë reklamat ose të përkthejë faqet normalisht, por njëkohësisht të mbledhë të dhëna shfletimi, të përgjojë kredencialet ose të komunikojë me servera të jashtëm për të shkarkuar udhëzime të reja.
Përdorimi i teknikave të tilla si steganografia e imazhit ose ekzekutimi i kodit të paqartë e pengon shumë detyrën e analizës. Sistemet tradicionale të sigurisë kanë tendencë të kërkojnë modele të njohuraPor kur kodi keqdashës fshihet në skedarë grafikë ose shpërndahet në pjesë të vogla midis komponentëve të ndryshëm, identifikimi bëhet shumë më i ndërlikuar.
Ky skenar i detyron si zhvilluesit e shfletuesve ashtu edhe dyqanet e zgjerimeve që të forconi mekanizmat e verifikimitEkspertët theksojnë se do të jetë e nevojshme të kombinohen analiza më të thella të automatizuara, auditime manuale dhe monitorim më i madh i sjelljes aktuale të zgjerimeve pasi të publikohen, veçanërisht ato që arrijnë një numër të lartë instalimesh në një kohë të shkurtër.
Ndikimi te përdoruesit në Evropë dhe rekomandimet bazë
Fushata GhostPoster ka një shtrirje globale, por Gjithashtu prek përdoruesit në Spanjë dhe pjesën tjetër të EvropësNë Mbretërinë e Bashkuar, Chrome, Firefox dhe Edge përbëjnë pothuajse të gjithë përdorimin e shfletuesve në mjediset shtëpiake dhe profesionale. Kushdo që ka instaluar zgjerime përkthimi, bllokues reklamash ose VPN vitet e fundit mund të ishte ekspozuar nëse shtesa ishte në listën e programeve keqdashëse.
Autoritetet evropiane dhe ekipet e reagimit po përdorin raportet nga kompani si KOI dhe LayerX si referencë për përditësoni njoftimet tuaja dhe standardet e sigurisë kompjuterikeRekomandimi i përgjithshëm është që të rishikohen periodikisht zgjerimet e instaluara dhe të çinstalohen ato që nuk përdoren më ose origjina e të cilave është e paqartë. Nuk është e pazakontë të grumbullohen shtesa që janë përdorur një herë dhe më pas janë harruar, por që ende kanë qasje në shfletues.
Për të zvogëluar rreziqet, specialistët këshillojnë prioritizoni zgjerimet e zhvilluara nga entitete të njohura.Kontrolloni vlerësimet dhe numrin e përdoruesve dhe kini kujdes nga zgjidhjet që premtojnë shumë funksione në një paketë të vetme. Gjithashtu rekomandohet të rishikoni lejet e kërkuara para instalimit, veçanërisht kur një shtesë kërkon akses të plotë në të gjitha të dhënat e shfletimit pa u dukur absolutisht e nevojshme.
Në sektorin e biznesit, ku shfletimi shpesh përfshin akses në informacione të ndjeshme dhe shërbime të brendshme, organizatat evropiane po përfshijnë politika specifike për të kontrolloni se cilat zgjerime mund të përdoren në kompjuterët e korporataveMasat e zakonshme përfshijnë krijimin e listave të bardha të shtesave të lejuara, monitorimin e centralizuar dhe përdorimin e zgjidhjeve të sigurisë të afta për të monitoruar aktivitetin e shfletuesit.
Për përdoruesit individualë që dyshojnë se kanë instaluar një zgjerim potencialisht dashakeq, ekspertët rekomandojnë Hiqni shtesën, kryeni një skanim me një antivirus të besueshëm. Dhe nëse dyshimet vazhdojnë, konsultohuni me një profesionist të sigurisë kibernetike. Në fushata komplekse si GhostPoster, thjesht çinstalimi i programit keqdashës mund të mos jetë i mjaftueshëm nëse në sistem është instaluar program i ri keqdashës.
Rasti GhostPoster nxjerr në pah shkallën në të cilën Besimi i verbër te dyqanet zyrtare të zgjerimeve mund të jetë i rrezikshëmEdhe pse ato mbeten kanali më i sigurt kundër shkarkimeve nga faqet e internetit të panjohura, përvoja tregon se ato nuk janë të pagabueshme dhe se sulmuesit dinë si t'i përshtaten kontrolleve të tyre. Një kombinim i përdorimit më kritik nga përdoruesit, proceseve më rigoroze të shqyrtimit dhe monitorimit të vazhdueshëm nga kompanitë e sigurisë do të jetë çelësi për frenimin e fushatave të ngjashme në të ardhmen.
