มีการค้นพบ extensions ที่เป็นอันตรายกว่า 17 รายการที่เชื่อมโยงกับแคมเปญ GhostPoster ใน stores ของ Chrome, Firefox และ Edge ซึ่งมียอดการติดตั้งรวมกันกว่า 840,000 ครั้ง
แคมเปญ GhostPoster ถูกรายงานครั้งแรกโดยนักวิจัยของ Koi Security ซึ่งในเดือนธันวาคมพวกเขาพบ extensions 17 รายการที่แอบซ่อนโค้ด JavaScript อันตรายเอาไว้ภายในรูปภาพโลโก้ ซึ่งจะคอยตรวจสอบกิจกรรมของเบราว์เซอร์ และฝัง backdoor ทิ้งไว้ในระบบ
โค้ดดังกล่าวจะดึงคำสั่งอันตรายที่ถูกซ่อนไว้จากภายนอก เพื่อใช้ในการติดตามพฤติกรรมการท่องเว็บของผู้ใช้ ขโมย Affiliate links บนแพลตฟอร์มอีคอมเมิร์ซรายใหญ่ และแอบฝัง iframe ที่มองไม่เห็นเพื่อทำการโกงค่าโฆษณา และการปั่นยอดคลิก
รายงานฉบับใหม่จาก LayerX แพลตฟอร์มความปลอดภัยบนเบราว์เซอร์ ระบุว่าแคมเปญดังกล่าวยังคงดำเนินอยู่แม้ว่าจะถูกเปิดเผยแล้วก็ตาม โดยมี extensions 17 รายการ ที่เป็นส่วนหนึ่งของแคมเปญ ดังนี้
- Google Translate in Right Click – ติดตั้งแล้ว 522,398 ครั้ง
- Translate Selected Text with Google – ติดตั้งแล้ว 159,645 ครั้ง
- Ads Block Ultimate – ติดตั้งแล้ว 48,078 ครั้ง
- Floating Player – PiP Mode – ติดตั้งแล้ว 40,824 ครั้ง
- Convert Everything – ติดตั้งแล้ว 17,171 ครั้ง
- Youtube Download – ติดตั้งแล้ว 11,458 ครั้ง
- One Key Translate – ติดตั้งแล้ว 10,785 ครั้ง
- AdBlocker – ติดตั้งแล้ว 10,155 ครั้ง
- Save Image to Pinterest on Right Click – ติดตั้งแล้ว 6,517 ครั้ง
- Instagram Downloader – ติดตั้งแล้ว 3,807 ครั้ง
- RSS Feed – ติดตั้งแล้ว 2,781 ครั้ง
- Cool Cursor – ติดตั้งแล้ว 2,254 ครั้ง
- Full Page Screenshot – ติดตั้งแล้ว 2,000 ครั้ง
- Amazon Price History – ติดตั้งแล้ว 1,197 ครั้ง
- Color Enhancer – ติดตั้งแล้ว 712 ครั้ง
- Translate Selected Text with Right Click – ติดตั้งแล้ว 283 ครั้ง
- Page Screenshot Clipper – ติดตั้งแล้ว 86 ครั้ง
จากข้อมูลของนักวิจัย แคมเปญดังกล่าวเริ่มต้นที่ Microsoft Edge จากนั้นขยายไปยัง Firefox และ Chrome
LayerX พบว่า extensions บางส่วนที่กล่าวมาข้างต้นมีอยู่ใน stores ของเบราว์เซอร์มาตั้งแต่ปี 2020 ซึ่งแสดงให้เห็นถึงการดำเนินงานที่ประสบความสำเร็จในระยะยาว
แม้ว่าความสามารถในการหลบเลี่ยง และการทำงานหลังการเปิดใช้งาน ส่วนใหญ่จะยังคงเดิมตามที่ทาง Koi เคยบันทึกไว้ก่อนหน้านี้ แต่ทาง LayerX ได้ตรวจพบรูปแบบที่มีความซับซ้อนยิ่งขึ้นใน extensions ‘Instagram Downloader’
ความแตกต่างที่พบ คือ การย้าย staging logic เข้าไปไว้ใน background script ของตัว extensions และมีการใช้ไฟล์รูปภาพที่แนบมาด้วยเป็นตัวเก็บ payload ที่เป็นอันตรายแบบลับ ๆ แทนการใช้เพียงไอคอน
ในระหว่างการทำงาน Background script จะสแกนข้อมูล Raw bytes ของรูปภาพเพื่อค้นหา specific delimiter จากนั้นจะทำการแยก และจัดเก็บข้อมูลที่ซ่อนอยู่ในพื้นที่เก็บข้อมูลของ extensions จากนั้นจะมีการถอดรหัส Base64 และเรียกใช้ JavaScript ในภายหลัง
LayerX ระบุถึง GhostPoster ว่าเวอร์ชันใหม่ล่าสุดมีขั้นตอนการทำงานแบบแบ่งเป็นระยะ แสดงให้เห็นถึงการพัฒนาที่ชัดเจนไปสู่การแฝงตัวที่ยาวนานขึ้น โดยมีความสามารถในรูปแบบ Modularity และความยืดหยุ่นต่อกลไกการตรวจจับทั้งแบบ Static และ Behavioral
นักวิจัยระบุว่า extensions ที่เพิ่งค้นพบเหล่านี้ไม่มีอยู่ใน add-on stores ของ Mozilla และ Microsoft อีกแล้ว อย่างไรก็ตาม ผู้ใช้ที่ยังมี extensions เหล่านี้ในเบราว์เซอร์ของตนเองอาจยังคงมีความเสี่ยงอยู่
ที่มา : bleepingcomputer
You must be logged in to post a comment.