Álcázott támadás hétköznapi kiegészítők mögött
A Koi Security szakemberei eddig 17 fertőzött bővítményt azonosítottak, kifejezetten népszerű kategóriákban, mint például VPN, fordító, időjárás, reklámblokkoló és képernyőkép-készítő. Ezek közül néhány: FreeVPN Forever, Dark Reader for FF, World Wide VPN, Ad-Stop, cache-fast-site-loader. A bővítmények vagy a logóban elrejtett kóddal, vagy közvetlenül a támadó szerveréről töltik le a káros tartalmat.
A megfertőzött képekben steganográfia segítségével elrejtett JavaScript-betöltő 48 óra elteltével lép működésbe, és meghatározott domainről próbál valódi kártevőt letölteni — tartalék domain is rendelkezésre áll, ha az első nem működik. A letöltött adatokat többszörösen átkódolják, majd egy kulccsal titkosítják, amelyet a bővítményazonosítóból nyernek.
Kattintáscsalás, követés, reklámtrükközés
A végső kártevő képes átirányítani az e-kereskedelmi oldalakon a partnerlinkeket a csalók felé, minden meglátogatott oldalon Google Analytics-követést telepíteni, eltávolítani a HTTP-biztonsági fejléceket és három különböző módszerrel megkerülni a CAPTCHA-védelmeket. Emellett láthatatlan iframe-eket injektál az oldalakba a kattintás- és reklámcsalás érdekében, amelyek 15 másodperc múlva eltűnnek.
Bár a kártevő jelenleg nem lop jelszavakat és nem irányít át adathalász oldalakra, a felhasználók adatvédelme súlyosan sérülhet. Ha a GhostPoster-támadók komolyabb kártevőt is bevetnek, még súlyosabb következményekkel járhat.
Mit tegyél, ha fertőzött bővítményt használsz?
A gyanús vagy érintett kiegészítőt azonnal töröld, a legfontosabb fiókjaidban a jelszavaidat is érdemes módosítani. Noha a Mozilla időközben eltávolította ezeket a Kiegészítők oldalról, egy ideig még elérhetők voltak. A vállalat megerősítette, hogy a védelem folyamatos fejlesztés alatt áll, hogy hasonló támadások ellen a jövőben is hatásos legyen.
