研究人员警告称,恶意 Firefox 扩展将恶意软件隐藏在自己的徽标中
安全研究人员发现了一种令人不安的新恶意软件活动,该活动将恶意代码隐藏在流行的 Firefox 浏览器扩展的徽标图像中。
该活动被称为“GhostPoster”裸露网络安全公司 Koi Security 发现了 17 个受感染的 Firefox 插件,感染了超过 50,000 名用户。这些扩展看似无害,但却在后台秘密运行恶意软件,提供免费 VPN、天气更新、广告拦截器、翻译实用程序和鼠标手势工具等功能。他们秘密监控用户的浏览活动,并在浏览器内打开后门。
恶意软件隐藏在众目睽睽之下
攻击者没有将恶意代码隐藏在扫描仪通常会看到的地方,而是将其嵌入到扩展程序的 PNG 徽标图像中,这种技术称为隐写术。照片在浏览器中正常显示,用户没有理由怀疑任何异常情况。
当扩展加载时,它会悄悄扫描自己的徽标文件的原始数据,找到隐藏的标记,并提取嵌入的 JavaScript。该代码充当加载程序,从攻击者控制的服务器获取主要恶意软件负载。
旨在逃避检测
GhostPoster 的设计目的是尽可能长时间地保持隐藏状态。该加载程序等待了 48 小时才激活,并且仅在 10% 的时间内下载了主要有效负载,这是一种逃避网络监控和安全分析的策略。
阅读更多:
一旦检索到,有效负载就会被严重混淆和加密,然后安静地存储在浏览器中以保持长期持久性。研究人员表示,这种隐秘的设计将使攻击者将来能够在几乎没有任何警告的情况下部署更危险的恶意软件。
恶意软件做了什么
虽然 GhostPoster 没有窃取密码或将用户重定向到网络钓鱼页面,但它仍然构成严重的隐私和安全风险。根据 Koi Security 的说法,该恶意软件可以:
- 劫持主要购物网站上的附属链接,将佣金重定向给攻击者
- 将 Google Analytics 跟踪注入用户访问的每个网页
- 删除关键的浏览器安全保护,使用户面临点击劫持和其他攻击
- 绕过用于阻止自动滥用的验证码系统
- 注入隐形iframe进行广告欺诈、点击欺诈
所有受影响的分机都与相同的命令和控制基础设施进行通信,这表明这是一次协调一致的活动。研究人员警告说,相同的基础设施将来可能很容易传播更危险的恶意软件。
受影响的热门扩展
恶意插件来自众所周知的类别:
- 永远免费VPN
- 屏幕截图保存简单
- 天气最佳预报
- cx鼠标手势
- 缓存快速站点加载器
- 免费mp3下载器
- 谷歌翻译右键单击
- 谷歌翻译器 esp
- 全球VPN
- 黑暗阅读器 for-ff
- 译者-gbbd
- 我喜欢天气
- 谷歌翻译专业扩展
- ??-??
- libretv-免费观看视频
- 广告停止
- 右键单击-谷歌-翻译
Mozilla 的回应
当调查结果首次被报道时,一些恶意扩展仍然可以在 Firefox 附加组件市场上找到。 Mozilla 后来证实,它已经删除了所有已识别的扩展并加强了其自动检测系统。
Mozilla 发言人在一份声明中表示:“用户安全是我们一直优先考虑并非常认真对待的事情。我们的插件团队已经调查了这份报告,并已采取行动从 AMO 中删除所有这些扩展。我们已经更新了我们的自动化系统,以检测和阻止现在和将来使用类似攻击的扩展。随着新攻击的出现,我们将继续改进我们的系统。”
用户应该做什么
安全专家敦促用户立即卸载任何受影响的扩展,并考虑重置重要帐户的密码。他们还建议谨慎安装浏览器扩展,尤其是那些提供 VPN 等“免费”服务的扩展。
正如 GhostPoster 活动所表明的那样,即使是一个简单的扩展徽标也可以被武器化,将日常工具变成无声的监视机制。
