Browser-extensies zijn een alledaags hulpmiddel geworden voor miljoenen gebruikers die Verbeter je ervaring in Chrome, Firefox of Edge.Ze worden gebruikt om webpagina's te vertalen, advertenties te blokkeren, wachtwoorden te beheren of het browsen te versnellen, en ze kunnen over het algemeen met slechts een paar klikken vanuit officiële appwinkels worden geïnstalleerd. Juist vanwege dit gemak controleren veel mensen nauwelijks wie er achter elke add-on zit of welke machtigingen deze aanvraagt.
Deze tekortkoming biedt cybercriminelen de mogelijkheid om extensies te gebruiken als een stil kanaal voor het bespioneren en stelen van gegevensEen recente campagne, genaamd GhostPoster, heeft duidelijk gemaakt hoe gevaarlijk deze methode is: frauduleuze extensies integreren alsof ze legitiem zijn, functioneren ogenschijnlijk normaal en kunnen jarenlang actief blijven zonder argwaan te wekken, terwijl ze tegelijkertijd de gebruikersactiviteit monitoren.
Wat is de GhostPoster-campagne en waarom is die zorgwekkend?
Onderzoek door diverse cybersecuritybedrijven, waaronder KOI en LayerXZe hebben een grootschalige operatie ontdekt die misbruik maakt van de officiële extensiewinkels van Mozilla Firefox, Google Chrome en Microsoft Edge. In het kader van de GhostPoster-campagne zijn tientallen add-ons geïdentificeerd die samen een enorme impact hebben. Het gaat om meer dan 840.000 installaties. wereldwijd, een cijfer dat een idee geeft van de omvang van het probleem.
Deze kwaadaardige extensies zijn vermomd als alledaagse tools: Paginavertalers, advertentieblokkers, zogenaamde VPN's of hulpprogramma's voor het beheren van downloads. Eenmaal geïnstalleerd, draaien ze op de achtergrond en monitoren ze wat het slachtoffer in de browser doet, krijgen ze toegang tot browsegegevens en kunnen ze in sommige gevallen bepaalde activiteiten mogelijk maken. achterdeuren die bediening op afstand van de apparatuur mogelijk maken.
Wat vooral zorgwekkend is, is dat veel van deze uitbreidingen al lange tijd beschikbaar zijn in officiële catalogi, wat betekent dat Ze hebben de beoordelingsfilters van de Chrome Web Store, Firefox Add-ons en de Edge Store doorstaan.Volgens de gepubliceerde analyses zijn sommige projecten al sinds 2020 in gebruik, waardoor de campagne op een continue basis en zonder grote verstoringen actief kon blijven.
Binnen GhostPoster hebben experts ook het volgende geïdentificeerd: een meer geavanceerde en ontwijkende variant Deze tak heeft op zichzelf al meer dan 3.800 installaties bereikt. Hij onderscheidt zich door zijn vermogen om controles te omzeilen en op te gaan in ogenschijnlijk legitieme extensies, waardoor het voor gebruikers nog moeilijker wordt om te beseffen dat er iets mis is.
Hoe werken de kwaadaardige extensies achter GhostPoster?
Browser-extensies, of het nu voor Chrome, Firefox of Edge is, zijn diep geïntegreerd met de software en kunnen De inhoud van webpagina's lezen en bewerken.Dit omvat toegang tot cookies, browsegeschiedenis en in sommige gevallen interactie met het besturingssysteem. Wanneer een extensie goed is ontworpen, dient dit alles om nuttige functies te bieden; wanneer de extensie kwaadaardig is, wordt diezelfde toegang een precisiewapen voor aanvallers.
In het geval van GhostPoster is de crux dat het schadelijke element zorgvuldig verborgen is. Onderzoek wijst uit dat degenen die verantwoordelijk zijn voor de campagne Ze verbergen een deel van de JavaScript-code in de PNG-afbeelding van het extensie-icoon.Deze techniek, bekend als steganografie, maakt het mogelijk om informatie te camoufleren in ogenschijnlijk onschuldige bestanden, zodat op het eerste gezicht alleen een normaal logo te zien is, maar de code die later zal worden uitgevoerd zich daarin bevindt.
Deze verborgen code wordt geactiveerd zodra de extensie is geïnstalleerd en is verantwoordelijk voor... Gebruikersactiviteit in realtime volgenHet kan registreren welke pagina's worden bezocht, welke formulieren worden ingevuld of welke diensten worden gebruikt, en het kan ook gevoelige informatie onderscheppen, zoals inloggegevens of sessietokens. In bepaalde gevallen downloadt het ook extra modules die uiteindelijk... Een achterdeur openen in de betreffende apparatuurwaardoor aanvallers de mogelijkheid krijgen om op afstand verbinding te maken.
Door gebruik te maken van steganografie zorgen cybercriminelen ervoor dat het kwaadaardige onderdeel relatief onopgemerkt blijft tijdens geautomatiseerde controles van extensiewinkels. Analysesystemen beoordelen doorgaans de zichtbare code en het gedeclareerde gedrag.Ze slagen er echter mogelijk niet in om te ontdekken dat de ware kern van de aanval verborgen zit in een simpele afbeelding. Deze aanpak maakt het voor platforms die de verspreiding van frauduleuze plug-ins willen tegengaan, extra moeilijk.
Bovendien bootsen de add-ons die aan GhostPoster zijn gekoppeld de functies van de legitieme tools die ze beweren na te bootsen, vrij nauwkeurig na. Ze bieden bijvoorbeeld paginavertaling of eenvoudige advertentieblokkering, wat het gevoel van normaliteit versterkt. Zolang de gebruiker maar gelooft dat hij een nuttige extensie gebruikt, Op de achtergrond wordt een constante stroom informatie gegenereerd richting de servers die door de aanvaller worden beheerd..
De rol van KOI en LayerX bij de ontdekking van de campagne
Het GhostPoster-schandaal is niet van de ene op de andere dag ontstaan. In december voerden analisten van het beveiligingsbedrijf KOI een onderzoek uit. Ze ontdekten een eerste groep van 17 kwaadaardige extensies die in de officiële Mozilla Firefox-winkel waren gepubliceerd. Al deze extensies waren gericht op gebruikers die op zoek waren naar gangbare hulpprogramma's en waren samen meer dan 50.000 keer gedownload.
Kort daarna zette het cybersecuritybedrijf LayerX het onderzoek voort en lokaliseerde de dader(s). nog een pakket van 17 vergelijkbare add-ons Verspreid via de catalogi van Microsoft Edge en Google Chrome. Met deze nieuwe detecties steeg het totale aantal installaties dat aan GhostPoster werd gekoppeld tot meer dan 840.000 in de drie browsers, waardoor het een campagne met een aanzienlijke wereldwijde impact werd.
De gepubliceerde rapporten geven aan dat Al deze extensies vertoonden vergelijkbare gedragspatronen. en zeer vergelijkbare technische structuren, wat leidde tot de conclusie dat ze deel uitmaakten van hetzelfde gecoördineerde plan. Tot de vastgestelde doelstellingen behoorden realtime navigatiebewaking, massale gegevensverzameling en het ongemerkt inbouwen van achterdeuren in de apparatuur.
Tijdens de analyse benadrukten KOI en LayerX dat Operatie GhostPoster geen op zichzelf staand incident is, maar eerder een voorbeeld van een strategie die gedurende meerdere jaren werd volgehouden om het extensie-ecosysteem te exploiteren. De onderzoekers benadrukken dat de combinatie van een groot aantal installaties en late detectie aanvallers in staat heeft gesteld hun actieve campagnes voort te zetten met voldoende manoeuvreerruimte.
Volgens experts staan ​​browserleveranciers zelf voor een complexe opgave: Detecteer kwaadaardige tools die populaire diensten nabootsen.Hoewel er geautomatiseerde controles en beoordelingsprocessen bestaan, blijkt uit ervaring dat deze niet altijd volstaan ​​om extensies tegen te houden die geavanceerde verbergingstechnieken gebruiken, zoals die van GhostPoster.
Wie zit hierachter: de Darkspectre-groep en hun eerdere campagnes.
Het onderzoek wijst naar een bekende speler op het gebied van cyberbeveiliging: DarkspectreDeze groep gebruikt al jaren browserextensies om malware te verspreiden en wordt verantwoordelijk gehouden voor eerdere operaties zoals ShadyPanda en The Zoom Stealer, die dezelfde technische middelen en infrastructuur delen als GhostPoster.
Volgens de verzamelde gegevens heeft Darkspectre zijn tactieken in de loop der tijd geperfectioneerd. Eerdere campagnes toonden al een bijzondere interesse in infiltratie via ogenschijnlijk betrouwbare kanalen.Net als officiële accessoirewinkels. GhostPoster zou in die zin een evolutie zijn van een werkwijze die erop gericht is het bereik te maximaliseren zonder direct argwaan te wekken.
LayerX legt uit dat het traceren van de infrastructuur die gebruikt wordt in GhostPoster, ShadyPanda en The Zoom Stealer het mogelijk heeft gemaakt om... om de technische evolutie van deze bedreigingen te documenterenOnderzoekers hebben geobserveerd hoe domeinen, servers en codefragmenten worden hergebruikt in verschillende aanvallen, waarbij de tools worden aangepast aan de beveiligingsmaatregelen die door de platforms zijn geïmplementeerd.
Een van de elementen die beveiligingsbedrijven het meest zorgen baart, is dat Sommige extensies die aan Darkspectre zijn gekoppeld, zouden sinds 2020 nog steeds actief zijn. zonder te worden opgemerkt. Deze volharding benadrukt zowel de geavanceerdheid van de aanvallers als de beperkingen van geautomatiseerde beoordelingssystemen, die niet altijd in staat zijn om kwaadaardige patronen te identificeren wanneer deze verborgen zijn in ongebruikelijke componenten, zoals grafische pictogrammen.
De rapporten geven ook aan dat, vanuit operationeel oogpunt, GhostPoster vertrouwt op zeer verfijnde ontwijkingstechnieken.Deze maatregelen omvatten het vertraagd laden van componenten, activering alleen onder specifieke navigatieomstandigheden en het gebruik van discrete communicatie met commando- en controleservers. Al deze maatregelen dragen bij aan het verminderen van ruis en het zo lang mogelijk onzichtbaar blijven voor radar.
Extensies, een steeds vaker voorkomende aanvalsvector
Naast GhostPoster waarschuwen experts al langer dat extensies een terugkerend doelwit voor cybercriminelenHun populariteit en het vertrouwen dat ze wekken doordat ze zogenaamd van officiële winkels afkomstig zijn, maken ze een ideaal kanaal om schadelijke software binnen te smokkelen zonder dat de gebruiker iets vermoedt.
In veel gevallen downloaden slachtoffers deze add-ons omdat Ze beloven aantrekkelijke en gratis functies.Deze extensies kunnen je helpen bij: het verwijderen van opdringerige advertenties, het verbeteren van je privacy, het versnellen van je browser of het automatiseren van repetitieve taken. Het probleem is echter dat de extensie, zodra toestemming is verleend, toegang krijgt tot een aanzienlijke hoeveelheid informatie zonder opnieuw toestemming te hoeven vragen.
Campagnes zoals GhostPoster laten zien dat, zelfs wanneer de extensie een aantal van zijn beloftes nakomt, mogelijk heimelijke activiteiten uitvoerenMet andere woorden, de plugin kan advertenties blokkeren of pagina's normaal vertalen, maar tegelijkertijd browsegegevens verzamelen, inloggegevens onderscheppen of communiceren met externe servers om nieuwe instructies te downloaden.
Het gebruik van technieken zoals beeldsteganografie of het uitvoeren van versleutelde code bemoeilijkt de analyse aanzienlijk. Traditionele beveiligingssystemen zoeken doorgaans naar bekende patronen.Maar wanneer kwaadaardige code zich verbergt in grafische bestanden of in kleine porties verspreid is over verschillende componenten, wordt identificatie veel ingewikkelder.
Dit scenario dwingt zowel browserontwikkelaars als de extensiewinkels zelf om versterk de verificatiemechanismenExperts wijzen erop dat een combinatie van diepgaande geautomatiseerde analyses, handmatige controles en een betere monitoring van het daadwerkelijke gedrag van gepubliceerde extensies nodig zal zijn, met name voor extensies die in korte tijd een groot aantal installaties behalen.
Impact op gebruikers in Europa en basisaanbevelingen
De GhostPoster-campagne heeft een wereldwijd bereik, maar Het treft ook gebruikers in Spanje en de rest van Europa.In het Verenigd Koninkrijk worden Chrome, Firefox en Edge het meest gebruikt door browsers, zowel thuis als op het werk. Iedereen die de afgelopen jaren vertaal-extensies, adblockers of VPN's heeft geïnstalleerd, loopt het risico dat de add-on op de lijst met schadelijke software staat.
Europese autoriteiten en respons teams gebruiken rapporten van bedrijven zoals KOI en LayerX als referentie voor update je meldingen en computerbeveiligingsnormenHet algemene advies is om periodiek de geïnstalleerde extensies te controleren en extensies te verwijderen die niet meer worden gebruikt of waarvan de herkomst onduidelijk is. Het is niet ongebruikelijk om add-ons te verzamelen die ooit zijn gebruikt en vervolgens vergeten, maar die nog steeds toegang hebben tot de browser.
Om risico's te verminderen, adviseren specialisten Geef prioriteit aan uitbreidingen die zijn ontwikkeld door erkende entiteiten.Controleer de beoordelingen en het aantal gebruikers en wees voorzichtig met oplossingen die te veel functies in één pakket beloven. Het is ook aan te raden om de gevraagde machtigingen te controleren vóór de installatie, vooral wanneer een add-on volledige toegang tot alle browsegegevens vraagt ​​zonder dat dit strikt noodzakelijk lijkt.
In de zakelijke sector, waar internetgebruik vaak toegang tot gevoelige informatie en interne systemen inhoudt, implementeren Europese organisaties specifieke beleidsmaatregelen om Bepaal welke extensies op bedrijfscomputers gebruikt mogen worden.Gangbare maatregelen zijn onder meer het maken van whitelists van toegestane add-ons, gecentraliseerde monitoring en het gebruik van beveiligingsoplossingen die browseractiviteit kunnen monitoren.
Voor individuele gebruikers die vermoeden dat ze een mogelijk schadelijke extensie hebben geïnstalleerd, raden experts het volgende aan: Verwijder de add-on en voer een scan uit met een betrouwbaar antivirusprogramma. En als de twijfels aanhouden, raadpleeg dan een cybersecurityprofessional. Bij complexe campagnes zoals GhostPoster is het simpelweg verwijderen van de malware mogelijk niet voldoende als er aanvullende malware op het systeem is geïnstalleerd.
De GhostPoster-zaak laat zien in hoeverre Blindelings vertrouwen op officiële aanbieders van extensies kan riskant zijn.Hoewel ze nog steeds het veiligste kanaal zijn tegen downloads van onbekende websites, leert de praktijk dat ze niet onfeilbaar zijn en dat aanvallers weten hoe ze de beveiligingsmaatregelen kunnen omzeilen. Een combinatie van kritischer gebruik door gebruikers, strengere controleprocessen en continue monitoring door beveiligingsbedrijven zal cruciaal zijn om soortgelijke campagnes in de toekomst te beteugelen.
