Το νέο GhostPoster Attack αξιοποιεί το εικονίδιο PNG για να μολύνει 50.000 χρήστες Firefox

Μια εξελιγμένη νέα καμπάνια κακόβουλου λογισμικού με την ονομασία «GhostPoster» έχει αποκαλυφθεί, η οποία αξιοποιεί μια έξυπνη τεχνική steganography για να θέσει σε κίνδυνο περίπου 50.000 χρήστες Firefox.

Το διάνυσμα επίθεσης περιλαμβάνει κυρίως φαινομενικά αθώες επεκτάσεις προγράμματος περιήγησης, όπως το “Free VPN Forever”, οι οποίες κρύβουν κακόβουλα ωφέλιμα φορτία μέσα στα δικά τους εικονίδια διεπαφής.

Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό που βασίζεται σε εξωτερικές λήψεις ή προφανείς ενέσεις σεναρίων, το GhostPoster ενσωματώνει την αρχική του λογική εκτέλεσης απευθείας στα ακατέργαστα byte ενός αρχείου PNG, παρακάμπτοντας έτσι τυπικούς σαρωτές ασφαλείας και κριτικές αγοράς που συνήθως αντιμετωπίζουν τα αρχεία εικόνας ως αβλαβή στοιχεία.

Η διαδικασία μόλυνσης ξεκινά όταν η παραβιασμένη επέκταση φορτώνει το αρχείο logo.png κατά τη διάρκεια της κανονικής λειτουργίας.

Αντί να εμφανίζεται απλώς η εικόνα, ο κώδικας της επέκτασης διαβάζει τα δυαδικά δεδομένα του αρχείου και αναζητά έναν συγκεκριμένο κρυφό δείκτη, που προσδιορίζεται ως η ακολουθία 0x3D 0x3D 0x3D (== =).

Μόλις ενεργοποιηθεί, αυτός ο μηχανισμός εξάγει τον κρυμμένο κώδικα JavaScript που εκκινεί μια αλυσίδα μόλυνσης πολλαπλών σταδίων.

Αυτή η μυστική προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να παραμείνει στο πρόγραμμα περιήγησης του θύματος, επιτρέποντας στους χειριστές να εκτελούν απομακρυσμένες εντολές, να αφαιρούν κεφαλίδες ασφαλείας και να παραβιάζουν την κυκλοφορία χρηστών για απάτη συνεργατών χωρίς να προκαλούν συναγερμούς.

Koi αναλυτές διάσημος ότι η καμπάνια καλύπτει τουλάχιστον 17 επεκτάσεις, όλες επικοινωνώντας με την ίδια υποδομή εντολών και ελέγχου, συμπεριλαμβανομένου του liveupdt.com.

Αυτοί οι ερευνητές διαπίστωσαν ότι το κακόβουλο λογισμικό όχι μόνο έθεσε σε κίνδυνο το απόρρητο των χρηστών εισάγοντας σενάρια παρακολούθησης, αλλά επίσης απενεργοποίησε κρίσιμες προστασίες του προγράμματος περιήγησης, όπως οι κεφαλίδες Content-Security-Policy.

Καταργώντας αυτές τις διασφαλίσεις, οι εισβολείς εξέθεσαν τους χρήστες σε πρόσθετους κινδύνους, συμπεριλαμβανομένου του σεναρίου μεταξύ ιστότοπων και του clickjacking, ενώ παράγουν σιωπηλά παράνομα έσοδα μέσω αναγκαστικών ανακατευθύνσεων σε ιστότοπους ηλεκτρονικού εμπορίου.

Οι επεκτάσεις παρέμεναν συχνά αδρανείς για μέρες, χρησιμοποιώντας ενεργοποιητές με βάση το χρόνο για να αποφευχθεί ο άμεσος εντοπισμός κατά την αρχική φάση εγκατάστασης.

Ο Μηχανισμός Αποκρυπτογράφησης

Η πιο ενδιαφέρουσα τεχνικά πτυχή του GhostPoster είναι η προσαρμοσμένη ρουτίνα αποκωδικοποίησης που αποσυσκευάζει το ωφέλιμο φορτίο που ανακτάται από τους διακομιστές εντολών και ελέγχου.

Αφού ο αρχικός φορτωτής ανακτήσει τα κρυπτογραφημένα δεδομένα, εφαρμόζει έναν μοναδικό αλγόριθμο μετασχηματισμού τριών βημάτων για την ανακατασκευή του εκτελέσιμου JavaScript.

Η διαδικασία περιλαμβάνει την εναλλαγή όλων των πεζών γραμμάτων σε κεφαλαία και αντίστροφα, την ανταλλαγή των αριθμών «8» και «9» και, τέλος, την εκτέλεση αποκωδικοποίησης Base64.

Αυτή η συσκότιση είναι υπολογιστικά απλή αλλά αποτελεσματική στην αποφυγή της ανίχνευσης στατικής υπογραφής. Μετά από αυτό το βήμα αποκωδικοποίησης, το ωφέλιμο φορτίο υποβάλλεται σε περαιτέρω επεξεργασία χρησιμοποιώντας κρυπτογράφηση XOR που προέρχεται από το μοναδικό αναγνωριστικό χρόνου εκτέλεσης της επέκτασης.

Αυτό διασφαλίζει ότι ο αποκρυπτογραφημένος κώδικας υπάρχει μόνο στη μνήμη του προγράμματος περιήγησης, χωρίς να αφήνει στατικό αποτύπωμα αρχείου για ανάλυση των ιατροδικαστικών εργαλείων.

Το κακόβουλο λογισμικό εισάγει σκόπιμα τυχαίες καθυστερήσεις και ανακτά το ωφέλιμο φορτίο μόνο περιστασιακά, καθιστώντας τη δυναμική ανάλυση πρόκληση για τις ομάδες ασφαλείας που προσπαθούν να αναπαράγουν τη μόλυνση σε ελεγχόμενο περιβάλλον.