Phần mềm độc hại cung cấp cho người điều hành quyền truy cập đặc quyền cao và liên tục vào trình duyệt, trong đó script ẩn đóng vai trò như một trình tải (loader) và nhúng payload chính từ máy chủ từ xa. Để quá trình khó bị phát hiện hơn, payload này được gửi một lần trong mười lần thử.
Các nhà nghiên cứu đã xác định 17 tiện ích mở rộng Firefox bị xâm nhập, từ logo PNG chúng có thể trích xuất và thực thi mã độc, hoặc tải xuống payload chính từ máy chủ của kẻ tấn công. Koi Security biết không phải tất cả tiện ích này đều sử dụng cùng một chuỗi payload, nhưng tất cả đều thể hiện cùng một hành vi và giao tiếp với cùng một cơ sở hạ tầng.
Cụ thể, các tiện ích này bao gồm: free-vpn-forever, screenshot-saved-easy, weather-best-forecast, crxmouse-gesture, cache-fast-site-loader, freemp3downloader, google-translate-right-clicks, google-traductor-esp, world-wide-vpn, dark-reader-for-ff, translator-gbbd, i-like-weather, google-translate-pro-extension, 谷歌-翻, libretv-watch-free-videos, ad-stop, right-click-google-translate.
Trong đó, FreeVPN Forever là tiện ích mở rộng mà Koi Security đã phân tích đầu tiên sau khi công cụ AI của họ phát hiện nó đang phân tích các byte dữ liệu thô của tệp hình ảnh logo, nhằm mục đích tìm một đoạn mã JavaScript được giấu bằng kỹ thuật steganography.
Trình tải JavaScript sẽ được kích hoạt sau 48 giờ để lấy payload từ một tên miền được mã hóa cứng. Bên cạnh đó, một tên miền dự phòng thứ hai sẽ khả dụng nếu payload đó không được gửi từ tên miền đầu tiên.
Theo Koi Security, trình tải này hầu như không hoạt động và chỉ nhận được payload trong 10% thời gian, điều này khiến nó khó bị phát hiện bởi các công cụ giám sát lưu lượng truy cập.
Payload cuối cùng có các khả năng sau:
- Tấn công chiếm đoạt các liên kết affiliate trên các trang thương mại điện tử lớn, chuyển hướng doanh thu cho kẻ tấn công.
- Tích hợp tính năng theo dõi Google Analytics vào mọi trang người dùng truy cập.
- Loại bỏ các header bảo mật khỏi tất cả các HTTP response.
- Vượt qua CAPTCHA bằng ba cơ chế khác nhau để phá vỡ hệ thống bảo vệ chống bot.
- Chèn các iframe vô hình để giả mạo quảng cáo, các iframe này sẽ tự xóa sau 15 giây.
Mặc dù phần mềm độc hại không thu thập mật khẩu hoặc chuyển hướng nạn nhân đến các trang web lừa đảo, nhưng nó vẫn đe dọa quyền riêng tư của người dùng. Các nhà nghiên cứu khuyến cáo nên gỡ bỏ các tiện ích mở rộng đã được đề cập và cân nhắc đặt lại mật khẩu cho toàn bộ thông tin tài khoản.
https://antoanthongtin.vn/tin/cac-cuoc-tan-cong-ghostposter-an-ma-javascript-doc-hai-trong-cac-tien-ich-mo-rong-firefox |