安全公司 Koi Security 發現 17 款 Mozilla Firefox 附加元件中嵌入了惡意 JavaScript 程式碼。該攻擊活動名為 GhostPoster,利用瀏覽器徽標檔案傳播惡意軟體。這些擴充功能已被下架,總下載量超過 5 萬次。
這些被攻擊的插件偽裝成 VPN、截圖工具、廣告攔截器和非官方版本的Google翻譯。其中最早的是 Dark Mode,發佈於 2024 年 10 月 25 日。據安全研究人員 Lotan Sery 和 Noga Gouldman 稱,該惡意軟體會劫持聯盟連結、注入追蹤程式碼、移除安全標頭、注入隱藏的 iframe 以及繞過驗證碼等。此載入器每 48 小時從外部伺服器(www.liveupdt[.]com 或 www.dealctr[.]com)取得有效載荷,並且只有 10% 的機率執行,以避免被偵測到。此外,該惡意軟體還內建了一種機制,使其在安裝後至少六天才會啟動。
從: 
GhostPoster惡意軟體已在17款下載量超過5萬次的Firefox外掛程式中被發現
【社論】
GhostPoster 攻擊活動再次凸顯了瀏覽器擴展生態系統的結構性缺陷,特別是攻擊者採用的複雜規避技術。
該惡意軟體採用隱寫術,將其程式碼隱藏在看似無害的資源(例如徽標檔案)中,使得傳統的靜態分析難以檢測。此外,它還將有效載荷被檢索到的機率限制在 10% 以內,並將執行時間延遲六天以上,從而巧妙地躲過了安全研究人員和沙箱測試。
值得注意的是,此案造成的損害遠不止於簡單的廣告詐欺。透過移除安全標頭,使用者會失去瀏覽器提供的保護,從而容易受到諸如點擊劫持和跨站腳本攻擊等二次攻擊。這意味著,最初的感染可能成為進一步攻擊的跳板。
此外,針對淘寶和京東等中國電商平台的聯盟行銷詐欺策略表明,攻擊者正瞄準特定地區和語言區域的用戶。事實上,網域後綴清單中包含中文名稱,這表明這可能是全球攻擊活動的一部分。
免費VPN擴充程式的濫用屢禁不止,這源自於人們日益增長的隱私擔憂,以及由此導致的網路安全意識不足。正如Koi Security所指出的,「免費」的代價往往是使用者本身的資料和隱私。
[術語]
隱寫術<br>一種將機密資訊隱藏在看似無害的資料(例如影像或音訊檔案)中的技術。在本案例中,惡意軟體程式碼被嵌入到徽標檔案中,以繞過正常的安全性檢查。
有效載荷<br>這指的是惡意軟體實際執行的惡意功能或程式碼。在本例中,有效載荷指的是執行聯盟行銷詐欺、追蹤等操作的可執行程式碼。
C2(命令與控制)基礎設施<br>攻擊者利用一組伺服器向惡意軟體發送命令並接收竊取的資料。在本例中,使用了「www.liveupdt[.]com」和「www.dealctr[.]com」。
點擊劫持<br>一種攻擊技術,指在用戶不知情的情況下,在頁面上疊加一層透明圖層,誘使用戶點擊他們不想點擊的內容。這種攻擊是透過移除安全標頭來實現的。
跨站腳本攻擊(XSS)
這是一種攻擊技術,它將惡意腳本注入網站,並使其在其他使用者的瀏覽器中執行。移除內容安全策略 (Content-Security-Policy) 標頭會增加此類攻擊的風險。
聯盟連結劫持<br>一種技術,將合法的聯盟連結替換為攻擊者的鏈接,竊取本應屬於原始推薦人的獎勵。
[參考連結]
Mozilla Firefox 附加元件(外部)
官方 Firefox 瀏覽器擴充功能商店,惡意擴充功能就是在這個平台上分發的。
Koi Security (外部)
發現 GhostPoster 攻擊活動的網路安全公司專門從事瀏覽器擴充功能的威脅分析。
Hacker News (外部連結)
專注於網路安全相關新聞的資訊媒體。本文基於該媒體提供的資訊撰寫而成。
淘寶(外部)
中國一家大型電子商務平台,是惡意軟體攻擊的目標之一,該惡意軟體用於聯盟行銷詐欺。
京東(京都) (外部連結)
這次聯盟行銷詐欺案的目標包括一家中國大型電商平台和淘寶網。
[參考文章]
下載量達 5 萬次的惡意 Firefox 插件劫持了聯盟連結(外部連結)
BleepingComputer 的報導詳細介紹了 GhostPoster 活動的詳細技術細節。
GhostPoster:惡意 Firefox 擴充功能竊取您的瀏覽資料(外部連結)
發現者 Koi Security 的官方部落格詳細解釋了其運作機制,包括獲得有效載荷的 10% 機率。
[編者註]
瀏覽器擴充功能已經深深融入我們的日常生活,但這或許也是一個重新檢視其便利背後風險的機會。你通常用哪些標準來選擇擴充功能?你是否曾被「免費」二字吸引,而忽略了查看開發者的信息?
這次事件引發了我們對如何在便利性和安全性之間取得平衡的思考。養成一些小習慣,例如查看並定期更新外掛程式評價,或許能夠幫助我們在數位空間中保護自身安全。
