कैसे 119 दुर्भावनापूर्ण एक्सटेंशन ने एज एड-ऑन्स स्टोर को एक स्टेजिंग ग्राउंड में बदल दिया

एक मानक ब्राउज़र एक्सटेंशन विश्वास का एक छोटा पैकेज होता है। उपयोगकर्ता इस उम्मीद के साथ विज्ञापन अवरोधक (ad blockers) और VPN इंस्टॉल करते हैं कि ये उपकरण उनके लिए काम करेंगे, न कि उनके खिलाफ। माइक्रोसॉफ्ट ने हाल ही में एक बड़े ऑपरेशन को ध्वस्त किया जिसने इस रिश्ते को उलट दिया था। इस अभियान को StegoAd नाम दिया गया, जिसमें माइक्रोसॉफ्ट एज एड-ऑन्स स्टोर पर 119 दुर्भावनापूर्ण एक्सटेंशन शामिल थे। ये एक्सटेंशन वर्षों तक सक्रिय रहे और 2.6 मिलियन उपयोगकर्ताओं के संयुक्त इंस्टॉल बेस तक पहुँच गए। यह ऑपरेशन बचाव (evasion) का एक उत्कृष्ट उदाहरण है, जो वेब को सही दिखाने और महसूस कराने वाली फाइलों के भीतर ही दुर्भावनापूर्ण पेलोड को छिपाने के लिए स्टेग्नोग्राफी (steganography) का उपयोग करता है।

जोखिम के दृष्टिकोण से, जोखिम का पैमाना महत्वपूर्ण है। हालांकि माइक्रोसॉफ्ट का कहना है कि 2.6 मिलियन एक ऊपरी सीमा है न कि पुष्ट पीड़ितों की संख्या, StegoAd की वास्तुशिल्प परिष्कार एक पेशेवर स्तर की योजना का सुझाव देती है। एक्सटेंशन ने बिल्कुल वही किया जो उन्होंने वादा किया था। उन्होंने विज्ञापनों को ब्लॉक किया, टेक्स्ट का अनुवाद किया और वीडियो डाउनलोड किए। उन्होंने सकारात्मक समीक्षाएं अर्जित कीं। हालाँकि, पर्दे के पीछे, उन्होंने एक माध्यमिक, दुर्भावनापूर्ण जीवन चक्र को ट्रिगर करने के लिए स्थितियों के एक विशिष्ट सेट की प्रतीक्षा की। यह एक धैर्यपूर्ण हमला था, जिसे आधुनिक ब्राउज़र इकोसिस्टम की सुरक्षा करने वाले स्वचालित स्कैनर को बायपास करने के लिए डिज़ाइन किया गया था।

एक धीमी गति के संक्रमण की वास्तुकला (The architecture of a slow burn infection)

हमले की श्रृंखला को पीछे की ओर ट्रैक करने से निष्क्रियता के प्रति एक व्यवस्थित दृष्टिकोण का पता चलता है। StegoAd अभिनेता समझता था कि तत्काल दुर्भावनापूर्ण गतिविधि एक ब्राउज़र एक्सटेंशन के लिए मौत की सजा है। 119 में से अधिकांश एक्सटेंशन इंस्टॉलेशन के कई दिनों बाद तक सौम्य रहे। यह देरी एक सामान्य रणनीति है, लेकिन अभिनेता और आगे निकल गया। उन्होंने यह सुनिश्चित करने के लिए बचाव जांच (evasion checks) का एक स्टैक लागू किया कि एक्सटेंशन केवल वास्तविक उपयोगकर्ता की मशीन पर ही सक्रिय हो।

एक जांच ने ब्राउज़र DevTools की उपस्थिति की तलाश की। यदि किसी विश्लेषक ने यह देखने के लिए इंस्पेक्टर खोला कि एक्सटेंशन क्या कर रहा है, तो कोड ने परिवर्तन को नोटिस किया और अपनी निष्क्रिय अवधि को बढ़ा दिया। इसने प्रभावी रूप से इसे खोजने वाले किसी भी व्यक्ति से व्यवहार को छिपा दिया। सक्रिय रूप से बोलते हुए, अभिनेता ने कुछ वेरिएंट्स पर 10% निष्पादन गेट (execution gate) का भी उपयोग किया। इसका मतलब है कि दस में से केवल एक इंस्टॉलेशन ने वास्तव में पेलोड को ट्रिगर किया। एक सुरक्षा शोधकर्ता के लिए जो रिपोर्ट किए गए बग को पुनरुत्पादित करने की कोशिश कर रहा है, मैलवेयर बस दिखाई ही नहीं देगा।

इस चुनिंदा निष्पादन ने उपयोगकर्ता आधार को एक विशाल, विकेंद्रीकृत परीक्षण बिस्तर में बदल दिया। अभिनेता उपयोगकर्ताओं के एक छोटे उपसमूह पर अपनी स्क्रिप्ट और डेटा चोरी (exfiltration) के तरीकों को परिष्कृत कर सकता था, जबकि अन्य 90% ने वैध गतिविधि और उच्च रेटिंग की ढाल प्रदान की। क्रोमियम प्लेटफॉर्म के विकसित होने के साथ एक्सटेंशन Manifest V2 से Manifest V3 में भी स्थानांतरित हो गए। यह एज उपयोगकर्ता आधार तक पहुंच बनाए रखने के लिए दीर्घकालिक प्रतिबद्धता को दर्शाता है।

कैसे स्टेग्नोग्राफी ने आइकन को हथियारों में बदल दिया (How steganography turned icons into weapons)

अभियान का मूल स्टेग्नोग्राफी है, जो अन्य डेटा के अंदर डेटा छिपाने का अभ्यास है। अभिनेता ने अपने जावास्क्रिप्ट पेलोड के लिए वाहक के रूप में छवियों और फ़ॉन्ट फ़ाइलों का उपयोग किया। StegoAd के शुरुआती संस्करणों में, मैलवेयर को PNG आइकन के IEND मार्कर के बाद जोड़ा गया था। यह मार्कर एक छवि व्यूअर को बताता है कि फ़ाइल समाप्त हो गई है। उस मार्कर के बाद की किसी भी चीज़ को रेंडरर द्वारा अनदेखा कर दिया जाता है लेकिन एक स्क्रिप्ट के लिए वह सुलभ रहती है। एक स्थिर स्कैनर के लिए, फ़ाइल एक वैध, हानिरहित आइकन की तरह दिखती है।

जैसे-जैसे पहचान उपकरण बेहतर हुए, खतरे के अभिनेता ने खुद को अनुकूलित किया। उन्होंने अपने पेलोड को WebP छवियों और WOFF2 फ़ॉन्ट फ़ाइलों में स्थानांतरित कर दिया। WOFF2 फ़ाइलें संकुचित वेब फ़ॉन्ट हैं जिनमें ग्लिफ़ रेंज और मेटाडेटा होते हैं। अभिनेता ने इन श्रेणियों के भीतर कोड छिपाया, जिससे पेलोड एशियाई टेक्स्ट या फ़ॉन्ट मेट्रिक्स जैसा दिखने लगा। माइक्रोसॉफ्ट इस पैमाने पर स्टेग्नोग्राफी को ब्राउज़र एक्सटेंशन क्षेत्र में दुर्लभ बताता है। यह एक उच्च-प्रयास तकनीक है जिसके लिए हमलावर को मीडिया फ़ाइलों को मैन्युअल रूप से तैयार करने या संशोधित करने की आवश्यकता होती है ताकि यह सुनिश्चित हो सके कि वे एन्क्रिप्टेड पेलोड ले जाते समय भी कार्य करते रहें।

कुछ उच्च-प्रभाव वाले वेरिएंट्स में, पेलोड स्थानीय एक्सटेंशन फ़ाइलों में मौजूद भी नहीं था। एक्सटेंशन ने कमांड-एंड-कंट्रोल सर्वर से एक सामान्य दिखने वाली छवि प्राप्त की। एक बार डाउनलोड होने के बाद, एक्सटेंशन ने केस स्वैप, डिजिट स्वैप, Base64 एन्कोडिंग और XOR संचालन की कई परतों के माध्यम से छवि को डिकोड किया। फिर इसने निष्पादन से पहले एक डिजिटल हस्ताक्षर के खिलाफ परिणामी स्क्रिप्ट को सत्यापित किया। यह प्रक्रिया सुनिश्चित करती है कि दुर्भावनापूर्ण लॉजिक कभी भी डिस्क पर पठनीय प्रारूप में संग्रहीत नहीं होता है।

कमांड और कंट्रोल इंफ्रास्ट्रक्चर की सुरक्षा (Protecting the command and control infrastructure)

StegoAd के लिए बैक-एंड इंफ्रास्ट्रक्चर फ्रंट-एंड एक्सटेंशन की तरह ही लचीला था। अभिनेता ने स्वचालित फ़ेलओवर क्षमताओं के साथ दस से अधिक कमांड-एंड-कंट्रोल डोमेन का उपयोग किया। यदि एक डोमेन ब्लॉक या डाउन हो गया, तो एक्सटेंशन स्वचालित रूप से बैकअप तक पहुँच गए। अपने ट्रैफिक को और छिपाने के लिए, ऑपरेटरों ने Cloudflare Workers के माध्यम से अपने अनुरोधों को प्रॉक्सी किया। इसने दुर्भावनापूर्ण ट्रैफ़िक को एक प्रतिष्ठित क्लाउड प्रदाता को वैध API कॉल जैसा बना दिया।

सर्वर-साइड सत्यापन ने हर दरवाजे पर एक VIP क्लब बाउंसर के रूप में कार्य किया। जब एक एक्सटेंशन ने पेलोड का अनुरोध किया, तो सर्वर ने ब्राउज़र के फिंगरप्रिंट और User-Agent स्ट्रिंग की जाँच की। यदि अनुरोध किसी ज्ञात शोध वातावरण या स्वचालित सैंडबॉक्स से आया है, तो सर्वर ने एक खाली डिकॉय प्रतिक्रिया लौटा दी। मैंने उन्नत लगातार खतरे (advanced persistent threat) वाले अभिनेताओं में इस स्तर का पागलपन देखा है, लेकिन एडवेयर अभियानों में यह कम आम है। यह बताता है कि ऑपरेटर अपने टूलकिट को खोज से बचाने के लिए अत्यधिक प्रेरित था।

GitHub Pages अभिनेता की किट में एक और उपकरण था। उन्होंने अपडेट की जांच करने के लिए एक्सटेंशन के लिए एक विश्वसनीय डोमेन प्रदान करते हुए बीकन होस्ट करने के लिए प्लेटफॉर्म का उपयोग किया। वैध बुनियादी ढांचे का दुरुपयोग करके, StegoAd ऑपरेटरों ने सुनिश्चित किया कि उनका ट्रैफ़िक एक विशिष्ट कॉर्पोरेट या घरेलू नेटवर्क के बैकग्राउंड शोर में मिल जाए। इस ट्रैफ़िक का पता लगाने के लिए केवल खराब IP की सूची से अधिक की आवश्यकता होती है; इसके लिए इस बात के व्यवहारिक विश्लेषण की आवश्यकता होती है कि एक एक्सटेंशन वेब के साथ कैसे इंटरैक्ट करता है।

डेटा चोरी के लिए धुएं के पर्दे के रूप में विज्ञापन धोखाधड़ी (Ad fraud as a smoke screen for data exfiltration)

StegoAd संक्रमण का सबसे दृश्य भाग विज्ञापन धोखाधड़ी (ad fraud) था। एक्सटेंशन ने वेब पेजों में विज्ञापन डाले, Amazon और eBay जैसी साइटों पर संबद्ध कमीशन (affiliate commissions) को हाईजैक किया, और खोज प्रश्नों को पुनर्निर्देशित किया। यह मैलवेयर का शोर मचाने वाला हिस्सा है, जिसे तत्काल राजस्व उत्पन्न करने के लिए डिज़ाइन किया गया है। हालाँकि, माइक्रोसॉफ्ट द्वारा किए गए तकनीकी पोस्टमार्टम ने सतह के नीचे छिपी क्षमताओं के एक बहुत गहरे सेट का खुलासा किया।

पेलोड को पुनः प्राप्त करने से पता चला कि अभिनेता के पास रिमोट कोड निष्पादन (remote code execution) क्षमताएं थीं। वे सर्वर से किसी भी संक्रमित ब्राउज़र पर मनमाना जावास्क्रिप्ट भेज सकते थे। इसने उन्हें लॉगिन प्रक्रिया के दौरान Google क्रेडेंशियल और दूसरे-कारक कोड (second-factor codes) एकत्र करने की अनुमति दी। उन्होंने वर्डप्रेस एडमिन लॉगिन को भी लक्षित किया और थोक में कुकीज़ की चोरी की। वास्तुशिल्प दृष्टिकोण से, सत्र कुकीज़ (session cookies) एक जहरीली संपत्ति हैं यदि वे गलत हाथों में पड़ जाती हैं। एक ताज़ा सत्र कुकी वाला हमलावर MFA को पूरी तरह से बायपास कर सकता है और सीधे उपयोगकर्ता के खाते में प्रवेश कर सकता है।

अभियान के लिए टेलीमेट्री सात Google Analytics ट्रैकिंग ID के माध्यम से प्रबंधित की गई थी। इसने ऑपरेटर को Google के अपने एनालिटिक्स इंफ्रास्ट्रक्चर का उपयोग करके उनकी प्रगति का रीयल-टाइम डैशबोर्ड दिया। वे देख सकते थे कि कौन से एक्सटेंशन अच्छा प्रदर्शन कर रहे थे, किन देशों में सबसे अधिक सक्रिय इंस्टॉल थे, और उनके पेलोड कहाँ सफलतापूर्वक चल रहे थे। यहाँ परिचालन बुद्धिमत्ता का स्तर पेशेवर है और एक सुव्यवस्थित व्यापार मॉडल का संकेत देता है।

चीनी कनेक्शन और DarkSpectre (The Chinese connection and DarkSpectre)

माइक्रोसॉफ्ट ने आधिकारिक तौर पर StegoAd के पीछे के अभिनेता का नाम नहीं लिया है, लेकिन तकनीकी संकेतक गतिविधि के एक ज्ञात क्लस्टर की ओर इशारा करते हैं। क्रेडेंशियल चोरी पेलोड mitarchive.info नामक डोमेन पर डेटा भेजता है। सुरक्षा शोधकर्ताओं ने पहले इस डोमेन को DarkSpectre के रूप में ज्ञात एक चीनी ऑपरेशन से जोड़ा है। यह समूह ShadyPanda और GhostPoster अभियानों से भी जुड़ा है, जिन्होंने दुर्भावनापूर्ण एक्सटेंशन वितरित करने के लिए समान रणनीति का उपयोग किया था।

ओवरलैप केवल एक डोमेन से अधिक है। StegoAd ने एक्सटेंशन के अपने आइकन के अंदर कोड छिपाने की ठीक वही विधि अपनाई जो GhostPoster ने महीनों पहले इस्तेमाल की थी। उन्होंने अपने एक्सटेंशन के लिए समान नामकरण परंपराओं को भी साझा किया, जैसे कि Ads Block Ultimate। यह बताता है कि StegoAd एक लंबे समय से चल रहे चीनी ऑपरेशन का नवीनतम विकास है जो ब्राउज़र एक्सटेंशन इकोसिस्टम को संचालन के प्राथमिक क्षेत्र के रूप में मानता है। ऑपरेटर फुर्तीले हैं, जैसे ही रक्षक उन्हें पकड़ते हैं, वे एक प्लेटफॉर्म से दूसरे प्लेटफॉर्म पर चले जाते हैं।

हमले की सतह का आकलन और कार्रवाई करना (Assessing the attack surface and taking action)

माइक्रोसॉफ्ट ने सभी 119 एक्सटेंशन हटा दिए हैं और डेवलपर खातों को निलंबित कर दिया है, लेकिन उन उपयोगकर्ताओं के लिए खतरा बना हुआ है जिनके पास अभी भी ये उपकरण इंस्टॉल हैं। क्योंकि इनमें से कुछ एक्सटेंशन अत्यधिक कार्यात्मक थे, उपयोगकर्ताओं को यह एहसास भी नहीं हो सकता है कि उनके साथ समझौता किया गया है। यदि आप Edge का उपयोग करते हैं, तो आपका पहला कदम edge://extensions पर जाना और अपनी सूची का ऑडिट करना है। माइक्रोसॉफ्ट की तकनीकी रिपोर्ट में दी गई सूची के खिलाफ अपनी इंस्टॉल की गई ID की तुलना करें।

मिलान होने की स्थिति में, ब्राउज़र वातावरण से समझौता हो जाता है। एक्सटेंशन को हटाना केवल पहला कदम है। आपको यह मान लेना चाहिए कि आपकी सत्र कुकीज़ और क्रेडेंशियल DarkSpectre समूह के हाथों में हैं। Google, आपके बैंक और वर्डप्रेस जैसे किसी भी कार्य-संबंधित पोर्टल सहित उच्च-मूल्य वाले खातों के लिए अपने पासवर्ड बदलें। किसी भी अपरिचित स्थान या डिवाइस के लिए अपनी हालिया साइन-इन गतिविधि की समीक्षा करें।

खतरे के परिदृश्य को देखते हुए, यह घटना पारंपरिक एक्सटेंशन जांच की विफलता को उजागर करती है। स्टेग्नोग्राफी और सर्वर-साइड सत्यापन का उपयोग करने वाले अभिनेताओं को पकड़ने के लिए स्थिर विश्लेषण (static analysis) अब पर्याप्त नहीं है। सक्रिय रूप से बोलते हुए, सबसे अच्छा बचाव एक लीन (lean) ब्राउज़र है। केवल वही एक्सटेंशन इंस्टॉल करें जो बिल्कुल आवश्यक हों और सत्यापित, प्रतिष्ठित डेवलपर्स से आते हों। जहाँ भी संभव हो MFA के लिए हार्डवेयर सुरक्षा कुंजियों का उपयोग करें। SMS कोड या पुश नोटिफिकेशन के विपरीत, एक हार्डवेयर कुंजी के लिए एक भौतिक संपर्क की आवश्यकता होती है जिसे एक्सटेंशन-आधारित स्क्रिप्ट आसानी से दोहरा नहीं सकती है।

ब्राउज़र सुरक्षा के लिए मुख्य निष्कर्ष (Key takeaways for browser security)

• अपने एक्सटेंशन का ऑडिट करें: नियमित रूप से edge://extensions या chrome://extensions की जाँच करें और जिस चीज़ का आप उपयोग नहीं करते उसे हटा दें।
• देरी पर नज़र रखें: उन एक्सटेंशनों पर संदेह करें जो अचानक व्यवहार बदलते हैं या इंस्टॉलेशन के कई दिनों बाद नई अनुमतियों का अनुरोध करते हैं।
• डेवलपर को सत्यापित करें: दुर्भावनापूर्ण अभिनेता अक्सर सामान्य नामों का उपयोग करते हैं या लोकप्रिय उपकरणों की नकल करते हैं। डेवलपर के इतिहास और वेबसाइट की जाँच करें।
• हार्डवेयर MFA का उपयोग करें: भौतिक सुरक्षा कुंजियाँ क्रेडेंशियल और सत्र चोरी के खिलाफ सबसे लचीला बचाव हैं जैसा कि StegoAd में देखा गया है।
• साइन-इन की निगरानी करें: उन सत्रों के लिए अपने प्रमुख खातों के सुरक्षा डैशबोर्ड की जाँच करें जो मौजूद नहीं होने चाहिए।

स्रोत: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।