Microsoft, Edge Eklentileri mağazasında, yüklerini sıradan görüntü ve yazı tipi dosyalarının içine gizleyen, ardından kurulumdan günler sonra kimlik bilgilerini çalmak ve reklam sahtekarlığı yapmak için uyanan, uzun süredir devam eden kötü amaçlı bir uzantı işlemini durdurdu.
Şirket buna steganografi ve reklam yazılımının bir karışımı olan StegoAd adını veriyor ve 119 uzantıyı en az 2021'den beri aktif olduğunu söylediği tek bir tehdit aktörüne bağlıyor.
Uzantılar insanların hiç düşünmeden yükledikleri türdendi: reklam engelleyiciler, VPN'ler, çevirmenler, video indiriciler. Her biri işini yaptı ve değerlendirmeler aldı. Kötü amaçlı kod, uzantı bir dizi kaçırma kontrolünü temizleyene kadar hareketsiz kaldı; bu da mağazada yıllarca böyle kaldı.
119 uzantının toplam yükleme tabanı 2,6 milyon kullanıcıya ulaştı. Microsoft bunun bir kurban sayımı değil, bir tavan olduğunu açıkça belirtiyor.
Birkaç gün süren bir gecikme, sunucu tarafı doğrulaması ve bazı değişkenlerdeki %10'luk yürütme kapısı, yükün birçok yüklemede hiç tetiklenmediği anlamına geliyordu. Gerçekte kaç kişinin tehlikeye girdiği bilinmiyor.
Resimlerde ve yazı tiplerinde gizli kod
Kampanyaya isim veren hile steganografidir: yürütülebilir kodu tamamen normal görünen dosyaların içine yerleştirmek. En eski değişkenler, bir PNG simgesinin IEND işaretleyicisinden sonra JavaScript'i eklemekteydi; böylece görüntü, statik tarayıcıların asla işaretlemediği bir yükü taşırken her yerde iyi bir şekilde işleniyordu.
Tespit işlemi tamamlandıktan sonra aktör, Asya metni veya yazı tipi meta verileri olarak okunan glif aralıklarındaki kodu gizleyerek WebP görüntülerine, ardından WOFF2 yazı tipi dosyalarına geçti. Microsoft, tarayıcı uzantısı ekosisteminde bu ölçekte steganografinin nadir olduğunu söylüyor.
Bazı yüksek etkili varyantlar yükü yerel olarak göndermedi bile. Komuta ve kontrol sunucusundan normal görünümlü bir görüntü aldılar. Uzantı, kasa takasları, rakam takasları, Base64 ve XOR katmanları aracılığıyla kodu çözdü ve çalıştırmadan önce bir imzayla karşılaştırdı.
C2 sunucusu gerçek dosyayı yalnızca parmak izi ve Kullanıcı Aracısı kontrolünden geçen isteklere sundu; Araştırmacılar da dahil olmak üzere konuyu doğrudan araştıran herkes boş bir tuzak yanıtı aldı.
Uzantılar ayrıca açık DevTools'u da izledi ve bir analistin baktığını fark ederse uyku süresini uzattı.
Üstte reklam sahtekarlığı, altta kimlik hırsızlığı
Görünen hasar reklam dolandırıcılığıydı: enjekte edilen reklamlar, Amazon, eBay ve AliExpress'te kaçırılan bağlı kuruluş komisyonları ve yeniden yönlendirilen aramalar; bunların hepsi gezinmeyi olumsuz etkilerken paranın kaymağını aldı.
Microsoft'un alınan verilerle ilgili analizi, aşağıda çok daha fazlasını buldu. Yükler, sunucudan rastgele gönderilen JavaScript'i çalıştıran bir uzaktan kod yürütme arka kapısı içeriyordu. Ayrıca oturum açma sırasında Google kimlik bilgilerini ve ikinci faktör kodlarını çaldılar, WordPress yönetici girişlerini topladılar ve oturumu ele geçirmek için çerezleri toplu olarak sızdırdılar.
Microsoft, yedi Google Analytics izleme kimliğinin gizli telemetri görevi gördüğünü ve operatöre Google'ın kendi altyapısı aracılığıyla kampanya hakkında neredeyse gerçek zamanlı gösterge tabloları sağladığını söylüyor.
Sıhhi tesisat hırsla eşleşti. Microsoft, otomatik yük devretme özelliğine sahip ondan fazla C2 alanı saymaktadır. Aktör, trafiği Cloudflare Çalışanları aracılığıyla temsil etti ve işaretçileri barındırmak için GitHub Sayfalarını kötüye kullandı.
Polimorfik bir çerçeve, 15'ten fazla adlandırma varyantı altında yaklaşık 66 uzantıyı içeriyordu ve aktör platform değişikliklerine uyum sağladıkça operasyon Manifest V2'den V3'e geçti.
Ne yapmalı
Microsoft, 119 uzantının tamamını kaldırdığını ve bunların arkasındaki 90'dan fazla geliştirici hesabının askıya alındığını açıkladı. Uzantı kimliklerinin tam listesi şirketin teknik raporunda yer almaktadır.
Edge://extensions'ı açın ve yüklü eklentilerinizi bu listeyle karşılaştırın. Herhangi bir şey eşleşirse veya Edge bir tanesini otomatik olarak kaldırmışsa, tarayıcıyı açığa çıkmış olarak değerlendirin. Google, WordPress, bankacılık ve diğer hassas hesapların şifrelerini değiştirin.
Son oturum açma etkinliğini inceleyin ve güçlü iki faktörlü kimlik doğrulamayı açın. Donanım güvenlik anahtarları bu tür kimlik bilgisi hırsızlığına karşı, SMS kodlarının yapamadığı şekilde dayanıklıdır. Microsoft, Chrome, Firefox ve diğer Ch'lerde kullanım için güvenlik ihlali göstergeleri yayınladı
romium tarayıcıları.
StegoAd yeni bir kampanyadan ziyade bilinen bir kampanyanın yeni yüzüne benziyor. Kimlik bilgisi yükü, Koi Security'nin Aralık ayında ShadyPanda ve GhostPoster uzantı kampanyalarına bağladığı Çin operasyonu DarkSpectre ile bağlantılı bir alan adı olan mitarchive.info'ya sızıyor.
Bağlantı etki alanının ötesine geçer. StegoAd, kodu bir uzantının kendi simgesinin içine gizler; GhostPoster'ın aylar önce kullandığı yöntemin aynısı. İkisi, Ads Block Ultimate gibi uzantı adlarını eşit olarak paylaşıyor.
Microsoft aktörün adını vermedi ancak örtüşme açık. Microsoft, operatörün hala aktif olduğunu söylüyor.