Πώς 119 κακόβουλες επεκτάσεις μετέτρεψαν το κατάστημα πρόσθετων του Edge σε πεδίο επίθεσης

Μια τυπική επέκταση προγράμματος περιήγησης είναι ένα μικρό πακέτο εμπιστοσύνης. Οι χρήστες εγκαθιστούν προγράμματα αποκλεισμού διαφημίσεων (ad blockers) και VPN με την προσδοκία ότι αυτά τα εργαλεία λειτουργούν προς όφελός τους, όχι εναντίον τους. Η Microsoft εξάρθρωσε πρόσφατα μια τεράστια επιχείρηση που ανέτρεψε αυτή τη σχέση. Η εκστρατεία, με την ονομασία StegoAd, περιλάμβανε 119 κακόβουλες επεκτάσεις στο κατάστημα Microsoft Edge Add-ons. Αυτές οι επεκτάσεις παρέμειναν ενεργές για χρόνια, φτάνοντας σε μια συνδυασμένη βάση εγκατάστασης 2,6 εκατομμυρίων χρηστών. Η επιχείρηση αποτελεί υπόδειγμα αποφυγής εντοπισμού, χρησιμοποιώντας στεγανογραφία για την απόκρυψη κακόβουλων φορτίων (payloads) μέσα στα ίδια τα αρχεία που κάνουν τον ιστό να φαίνεται και να λειτουργεί σωστά.

Από την πλευρά του κινδύνου, η κλίμακα της έκθεσης είναι σημαντική. Ενώ η Microsoft σημειώνει ότι τα 2,6 εκατομμύρια είναι ένα ανώτατο όριο και όχι ένας επιβεβαιωμένος αριθμός θυμάτων, η αρχιτεκτονική πολυπλοκότητα του StegoAd υποδηλώνει επαγγελματικό επίπεδο σχεδιασμού. Οι επεκτάσεις έκαναν ακριβώς αυτό που υποσχέθηκαν. Απέκλειαν διαφημίσεις, μετέφραζαν κείμενο και κατέβαζαν βίντεο. Κέρδισαν θετικές κριτικές. Στο παρασκήνιο, ωστόσο, περίμεναν ένα συγκεκριμένο σύνολο συνθηκών για να ενεργοποιήσουν έναν δευτερεύοντα, κακόβουλο κύκλο ζωής. Πρόκειται για μια υπομονετική επίθεση, σχεδιασμένη να παρακάμπτει τους αυτοματοποιημένους σαρωτές που ελέγχουν τα σύγχρονα οικοσυστήματα προγραμμάτων περιήγησης.

Η αρχιτεκτονική μιας λοίμωξης αργής εξέλιξης

Η ανίχνευση της αλυσίδας επίθεσης προς τα πίσω αποκαλύπτει μια μεθοδική προσέγγιση στην αδράνεια. Ο φορέας του StegoAd κατάλαβε ότι η άμεση κακόβουλη δραστηριότητα αποτελεί θανατική ποινή για μια επέκταση προγράμματος περιήγησης. Οι περισσότερες από τις 119 επεκτάσεις παρέμειναν καλοήθεις για αρκετές ημέρες μετά την εγκατάσταση. Αυτή η καθυστέρηση είναι μια κοινή τακτική, αλλά ο φορέας προχώρησε παραπέρα. Εφάρμοσε μια σειρά ελέγχων αποφυγής για να διασφαλίσει ότι η επέκταση θα ενεργοποιούνταν μόνο στον υπολογιστή ενός πραγματικού χρήστη.

Ένας έλεγχος αναζητούσε την παρουσία των DevTools του προγράμματος περιήγησης. Εάν ένας αναλυτής άνοιγε τον επιθεωρητή (inspector) για να δει τι έκανε η επέκταση, ο κώδικας αντιλαμβανόταν την αλλαγή και παρέτεινε την περίοδο αδράνειας. Αυτό απέκρυπτε αποτελεσματικά τη συμπεριφορά από οποιονδήποτε την αναζητούσε. Προληπτικά, ο φορέας χρησιμοποίησε επίσης μια πύλη εκτέλεσης 10% σε ορισμένες παραλλαγές. Αυτό σημαίνει ότι μόνο μία στις δέκα εγκαταστάσεις ενεργοποιούσε πραγματικά το κακόβουλο φορτίο. Για έναν ερευνητή ασφαλείας που προσπαθούσε να αναπαράγει ένα αναφερθέν σφάλμα, το κακόβουλο λογισμικό απλώς δεν εμφανιζόταν.

Αυτή η επιλεκτική εκτέλεση μετέτρεψε τη βάση χρηστών σε ένα τεράστιο, αποκεντρωμένο πεδίο δοκιμών. Ο φορέας μπορούσε να βελτιώσει τα σενάρια (scripts) και τις μεθόδους εξαγωγής δεδομένων του σε ένα μικρό υποσύνολο χρηστών, ενώ το υπόλοιπο 90% παρείχε μια ασπίδα νόμιμης δραστηριότητας και υψηλών βαθμολογιών. Οι επεκτάσεις μεταφέρθηκαν ακόμη και από το Manifest V2 στο Manifest V3 καθώς εξελισσόταν η πλατφόρμα Chromium. Αυτό δείχνει μια μακροπρόθεσμη δέσμευση για τη διατήρηση της πρόσβασης στη βάση χρηστών του Edge.

Πώς η στεγανογραφία μετέτρεψε τα εικονίδια σε όπλα

Ο πυρήνας της εκστρατείας είναι η στεγανογραφία, η πρακτική της απόκρυψης δεδομένων μέσα σε άλλα δεδομένα. Ο φορέας χρησιμοποίησε εικόνες και αρχεία γραμματοσειρών ως φορείς για τα JavaScript φορτία του. Στις πρώτες εκδόσεις του StegoAd, το κακόβουλο λογισμικό προσαρτιόταν μετά τον δείκτη IEND ενός εικονιδίου PNG. Αυτός ο δείκτης λέει σε ένα πρόγραμμα προβολής εικόνων ότι το αρχείο έχει τελειώσει. Οτιδήποτε μετά από αυτόν τον δείκτη αγνοείται από τη μηχανή απόδοσης, αλλά παραμένει προσβάσιμο σε ένα σενάριο. Για έναν στατικό σαρωτή, το αρχείο μοιάζει με ένα έγκυρο, αβλαβές εικονίδιο.

Καθώς τα εργαλεία ανίχνευσης βελτιώνονταν, ο φορέας απειλής προσαρμοζόταν. Μετέφερε τα φορτία του σε εικόνες WebP και αρχεία γραμματοσειρών WOFF2. Τα αρχεία WOFF2 είναι συμπιεσμένες γραμματοσειρές ιστού που περιέχουν εύρη γλυφών και μεταδεδομένα. Ο φορέας έκρυψε κώδικα μέσα σε αυτά τα εύρη, κάνοντας το φορτίο να μοιάζει με ασιατικό κείμενο ή μετρικά στοιχεία γραμματοσειράς. Η Microsoft περιγράφει τη στεγανογραφία σε αυτή την κλίμακα ως σπάνια στον χώρο των επεκτάσεων προγραμμάτων περιήγησης. Είναι μια τεχνική υψηλής προσπάθειας που απαιτεί από τον επιτιθέμενο να κατασκευάσει ή να τροποποιήσει χειροκίνητα αρχεία πολυμέσων για να διασφαλίσει ότι εξακολουθούν να λειτουργούν ενώ μεταφέρουν έναν κρυπτογραφημένο λαθρεπιβάτη.

Σε ορισμένες παραλλαγές υψηλού αντικτύπου, το φορτίο δεν ήταν καν παρόν στα τοπικά αρχεία της επέκτασης. Η επέκταση ανακτούσε μια κανονική στην εμφάνιση εικόνα από έναν διακομιστή εντολών και ελέγχου (C2). Μόλις κατέβαινε, η επέκταση αποκωδικοποιούσε την εικόνα μέσω πολλαπλών επιπέδων εναλλαγής πεζών-κεφαλαίων, εναλλαγής ψηφίων, κωδικοποίησης Base64 και λειτουργιών XOR. Στη συνέχεια επαλήθευε το προκύπτον σενάριο έναντι μιας ψηφιακής υπογραφής πριν από την εκτέλεση. Αυτή η διαδικασία διασφαλίζει ότι η κακόβουλη λογική δεν αποθηκεύεται ποτέ στον δίσκο σε αναγνώσιμη μορφή.

Προστασία της υποδομής εντολών και ελέγχου

Η υποδομή back-end για το StegoAd ήταν εξίσου ανθεκτική με τις επεκτάσεις front-end. Ο φορέας χρησιμοποίησε περισσότερους από δέκα τομείς (domains) εντολών και ελέγχου με δυνατότητες αυτόματης μεταγωγής σε περίπτωση αποτυχίας. Εάν ένας τομέας μπλοκαριζόταν ή καταργούνταν, οι επεκτάσεις επικοινωνούσαν αυτόματα με έναν εφεδρικό. Για να κρύψουν περαιτέρω την κίνησή τους, οι χειριστές διοχέτευαν τα αιτήματά τους μέσω Cloudflare Workers. Αυτό έκανε την κακόβουλη κίνηση να μοιάζει με νόμιμες κλήσεις API σε έναν αξιόπιστο πάροχο cloud.

Η επικύρωση από την πλευρά του διακομιστή λειτουργούσε ως πορτιέρης σε κλαμπ VIP σε κάθε πόρτα. Όταν μια επέκταση ζητούσε ένα φορτίο, ο διακομιστής ήλεγχε το ψηφιακό αποτύπωμα (fingerprint) του προγράμματος περιήγησης και τη συμβολοσειρά User-Agent. Εάν το αίτημα προερχόταν από γνωστό ερευνητικό περιβάλλον ή αυτοματοποιημένο sandbox, ο διακομιστής επέστρεφε μια κενή απάντηση-δόλωμα. Έχω δει αυτό το επίπεδο παράνοιας σε προηγμένους φορείς επίμονων απειλών (APT), αλλά είναι λιγότερο συνηθισμένο σε εκστρατείες adware. Αυτό υποδηλώνει ότι ο χειριστής είχε ισχυρό κίνητρο να προστατεύσει την εργαλειοθήκη του από την ανακάλυψη.

Το GitHub Pages ήταν ένα άλλο εργαλείο στο οπλοστάσιο του φορέα. Χρησιμοποίησαν την πλατφόρμα για να φιλοξενήσουν φάρους (beacons), παρέχοντας έναν αξιόπιστο τομέα για να ελέγχουν οι επεκτάσεις για ενημερώσεις. Καταχρώμενοι νόμιμες υποδομές, οι χειριστές του StegoAd διασφάλισαν ότι η κίνησή τους εναρμονιζόταν με τον θόρυβο βάθους ενός τυπικού εταιρικού ή οικιακού δικτύου. Ο εντοπισμός αυτής της κίνησης απαιτεί κάτι περισσότερο από μια λίστα κακών διευθύνσεων IP. Απαιτεί συμπεριφορική ανάλυση του τρόπου με τον οποίο μια επέκταση αλληλεπιδρά με τον ιστό.

Η διαφημιστική απάτη ως προπέτασμα καπνού για την εξαγωγή δεδομένων

Το πιο ορατό μέρος της λοίμωξης StegoAd ήταν η διαφημιστική απάτη (ad fraud). Οι επεκτάσεις εισήγαγαν διαφημίσεις σε ιστοσελίδες, υπέκλεπταν προμήθειες συνεργατών (affiliate) σε ιστότοπους όπως το Amazon και το eBay και ανακατεύθυναν ερωτήματα αναζήτησης. Αυτό είναι το θορυβώδες μέρος του κακόβουλου λογισμικού, σχεδιασμένο να παράγει άμεσα έσοδα. Ωστόσο, η τεχνική ανάλυση που διεξήγαγε η Microsoft αποκάλυψε ένα πολύ πιο σκοτεινό σύνολο δυνατοτήτων κρυμμένο κάτω από την επιφάνεια.

Η ανάκτηση των φορτίων έδειξε ότι ο φορέας είχε δυνατότητες απομακρυσμένης εκτέλεσης κώδικα (RCE). Μπορούσαν να προωθήσουν αυθαίρετο κώδικα JavaScript από τον διακομιστή σε οποιοδήποτε μολυσμένο πρόγραμμα περιήγησης. Αυτό τους επέτρεπε να συλλέγουν διαπιστευτήρια Google και κωδικούς δεύτερου παράγοντα κατά τη διαδικασία σύνδεσης. Στόχευσαν επίσης συνδέσεις διαχειριστή WordPress και εξήγαγαν cookies μαζικά. Από αρχιτεκτονική άποψη, τα cookies συνεδρίας (session cookies) είναι ένα τοξικό περιουσιακό στοιχείο εάν πέσουν σε λάθος χέρια. Ένας επιτιθέμενος με ένα φρέσκο cookie συνεδρίας μπορεί να παρακάμψει πλήρως το MFA και να μπει απευθείας στον λογαριασμό ενός χρήστη.

Η τηλεμετρία για την εκστρατεία διαχειριζόταν μέσω επτά αναγνωριστικών παρακολούθησης Google Analytics. Αυτό έδινε στον χειριστή έναν πίνακα ελέγχου της προόδου του σε πραγματικό χρόνο χρησιμοποιώντας την ίδια την υποδομή ανάλυσης της Google. Μπορούσαν να δουν ποιες επεκτάσεις είχαν καλή απόδοση, ποιες χώρες είχαν τις περισσότερες ενεργές εγκαταστάσεις και πού τα φορτία τους εκτελούνταν με επιτυχία. Το επίπεδο επιχειρησιακής νοημοσύνης εδώ είναι επαγγελματικό και υποδηλώνει ένα βελτιωμένο επιχειρηματικό μοντέλο.

Η κινεζική σύνδεση και το DarkSpectre

Η Microsoft δεν έχει κατονομάσει επίσημα τον φορέα πίσω από το StegoAd, αλλά οι τεχνικοί δείκτες δείχνουν προς μια γνωστή ομάδα δραστηριότητας. Το φορτίο κλοπής διαπιστευτηρίων εξάγει δεδομένα σε έναν τομέα που ονομάζεται mitarchive.info. Οι ερευνητές ασφαλείας έχουν συνδέσει προηγουμένως αυτόν τον τομέα με μια κινεζική επιχείρηση γνωστή ως DarkSpectre. Αυτή η ομάδα σχετίζεται επίσης με τις εκστρατείες ShadyPanda και GhostPoster, οι οποίες χρησιμοποίησαν παρόμοιες τακτικές για τη διανομή κακόβουλων επεκτάσεων.

Η επικάλυψη είναι κάτι περισσότερο από έναν απλό τομέα. Το StegoAd χρησιμοποίησε την ίδια ακριβώς μέθοδο απόκρυψης κώδικα μέσα στο εικονίδιο της ίδιας της επέκτασης που χρησιμοποίησε το GhostPoster μήνες νωρίτερα. Μοιράζονταν ακόμη και τις ίδιες συμβάσεις ονομασίας για τις επεκτάσεις τους, όπως το Ads Block Ultimate. Αυτό υποδηλώνει ότι το StegoAd είναι η τελευταία εξέλιξη μιας μακροχρόνιας κινεζικής επιχείρησης που αντιμετωπίζει το οικοσύστημα των επεκτάσεων προγραμμάτων περιήγησης ως κύριο πεδίο επιχειρήσεων. Οι χειριστές είναι ευέλικτοι, μετακινούμενοι από τη μία πλατφόρμα στην άλλη καθώς οι αμυνόμενοι τους προλαβαίνουν.

Αξιολόγηση της επιφάνειας επίθεσης και λήψη μέτρων

Η Microsoft αφαίρεσε και τις 119 επεκτάσεις και ανέστειλε τους λογαριασμούς προγραμματιστών, αλλά ο κίνδυνος παραμένει για τους χρήστες που έχουν ακόμα εγκατεστημένα αυτά τα εργαλεία. Επειδή ορισμένες από αυτές τις επεκτάσεις ήταν εξαιρετικά λειτουργικές, οι χρήστες μπορεί να μην συνειδητοποιούν καν ότι έχουν παραβιαστεί. Εάν χρησιμοποιείτε τον Edge, το πρώτο σας βήμα είναι να επισκεφθείτε τη διεύθυνση edge://extensions και να ελέγξετε τη λίστα σας. Συγκρίνετε τα εγκατεστημένα IDs σας με τη λίστα που παρέχεται στην τεχνική αναφορά της Microsoft.

Σε περίπτωση αντιστοίχισης, το περιβάλλον του προγράμματος περιήγησης είναι παραβιασμένο. Η αφαίρεση της επέκτασης είναι μόνο το πρώτο βήμα. Πρέπει να υποθέσετε ότι τα cookies συνεδρίας και τα διαπιστευτήριά σας βρίσκονται στα χέρια της ομάδας DarkSpectre. Αλλάξτε τους κωδικούς πρόσβασής σας για λογαριασμούς υψηλής αξίας, συμπεριλαμβανομένης της Google, της τράπεζάς σας και οποιωνδήποτε πυλών που σχετίζονται με την εργασία, όπως το WordPress. Ελέγξτε την πρόσφατη δραστηριότητα σύνδεσής σας για τυχόν μη αναγνωρισμένες τοποθεσίες ή συσκευές.

Κοιτάζοντας το τοπίο των απειλών, αυτό το περιστατικό υπογραμμίζει την αποτυχία του παραδοσιακού ελέγχου επεκτάσεων. Η στατική ανάλυση δεν επαρκεί πλέον για τον εντοπισμό φορέων που χρησιμοποιούν στεγανογραφία και επικύρωση από την πλευρά του διακομιστή. Προληπτικά μιλώντας, η καλύτερη άμυνα είναι ένα «λιτό» πρόγραμμα περιήγησης. Εγκαθιστάτε μόνο επεκτάσεις που είναι απολύτως απαραίτητες και προέρχονται από επαληθευμένους, αξιόπιστους προγραμματιστές. Χρησιμοποιήστε κλειδιά ασφαλείας υλικού (hardware security keys) για MFA όπου είναι δυνατόν. Σε αντίθεση με τους κωδικούς SMS ή τις ειδοποιήσεις push, ένα κλειδί υλικού απαιτεί μια φυσική αλληλεπίδραση την οποία ένα σενάριο που βασίζεται σε επέκταση δεν μπορεί εύκολα να αναπαράγει.

Βασικά συμπεράσματα για την ασφάλεια του προγράμματος περιήγησης

• Ελέγξτε τις επεκτάσεις σας: Ελέγχετε τακτικά τις διευθύνσεις edge://extensions ή chrome://extensions και αφαιρέστε οτιδήποτε δεν χρησιμοποιείτε.
• Αναζητήστε την καθυστέρηση: Να είστε καχύποπτοι με επεκτάσεις που αλλάζουν ξαφνικά συμπεριφορά ή ζητούν νέα δικαιώματα ημέρες μετά την εγκατάσταση.
• Επαληθεύστε τον προγραμματιστή: Οι κακόβουλοι φορείς χρησιμοποιούν συχνά γενικά ονόματα ή μιμούνται δημοφιλή εργαλεία. Ελέγξτε το ιστορικό και τον ιστότοπο του προγραμματιστή.
• Χρησιμοποιήστε MFA υλικού: Τα φυσικά κλειδιά ασφαλείας είναι η πιο ανθεκτική άμυνα ενάντια στην κλοπή διαπιστευτηρίων και συνεδρίας που παρατηρήθηκε στο StegoAd.
• Παρακολουθήστε τις συνδέσεις: Ελέγξτε τους πίνακες ελέγχου ασφαλείας των κύριων λογαριασμών σας για συνεδρίες που δεν θα έπρεπε να υπάρχουν.

Πηγές: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς και δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.