Sokan foggal-körömmel ragaszkodnak – a sokszor rossz – megszokásaikhoz. Egyes felhasználóknál tapasztaltuk, hogy időnként a megszokásból használt szoftverek helyett azért se próbálnak meg mást, mert hamis fikciókat gyártva becsapják magukat. Ez a cikk főként nekik készült, hogy megvilágítsuk azt a tényt, hogyha nem vagy nyitott, figyelmes, óvatos, akkor teljesen mindegy miben hiszel, a baj nem fog elkerülni!
A cikkben sok más, trendinek számító böngészőt is említhetnék, de most a Firefox böngészőt vesszük górcső alá! A Firefox méltán nyilvánítanak biztonságosnak, hiszen úttörő volt abban, hogy elsőként, a ma legbiztonságosabb Rust nyelvre írták át annak kódját! És nem is kérdés, hogy a Firefox fejlesztőcsapata mindent megtesz a biztonság érdekében!
És akkor jött a felhasználó!
A rossz megszokás után jellemző, hogy a felhasználó elkezdi (talán unalmában, talán valamilyen kényszerből) szétszabni a számára új, de még biztonságos környezetet, felületet! És nem utolsó sorban, mindent is telepít aminek elég csicsás az ikonja, és ha már ott van a bővítmény-shop, akkor miért ne tegyen fel még néhányat abból is?!
És akkor jönnek a hackerek!
Itt már hiába készült legbiztonságosabb programozási nyelven, hiába felelt meg a kódauditnak, baj a Firefox-ot, ezáltal a felhasználóit sem kerüli el! Akik persze még ezer figyelmeztetés után is, a megszokásaik, és csicsázás rabjai.
Egyetlen PNG ikon 50 000 Firefox-felhasználót fertőzött meg (GhostPoster vírussal)
A vírusfertőzést a Firefox bővítményekbe használt ikon okozta! Az alábbi bővítmények érintettek:
- free-vpn-forever
- screenshot-saved-easy
- weather-best-forecast
- crxmouse-gesture
- cache-fast-site-loader
- freemp3downloader
- google-translate-right-clicks
- google-traductor-esp
- world-wide-vpn
- dark-reader-for-ff
- translator-gbbd
- i-like-weather
- google-translate-pro-extension
- 谷歌-翻译
- libretv-watch-free-videos
- ad-stop
- right-click-google-translate
Figyelem!
Több bővítmény máig elérhető a bővítmény-boltban! Továbbá számos más hasonlóan fertőző bővítmény is létezhet!
A támadás lényege
Biztonsági kutatók a Koi Security munkája nyomán egy “GhostPoster” nevű kártékony Firefox-kiegészítő kampányt fedeztek fel, amely legalább 17 Firefox-bővítménybe (extension) rejtett malware-t használt. Ezek az add-onok teljesen ártalmatlannak tűntek, például ingyenes VPN-t, képernyőmentést, fordítást, időjárás előrejelzést, stb. ígértek!
Hogyan működött a fertőzés? (technikai lépések)
A kártékony kódot nem a programban vagy JavaScript-fájlokban, hanem egy képfájlban (logo.png) rejtették el – ez a steganográfiának nevezett technika. A PNG kép látszólag teljesen normális volt, azonban három egyenlőségjel („===”) után JavaScript kód kezdődött, amit a böngésző futtatott.
Többlépcsős a betöltési folyamat! A malware nem egyszerre jelent meg — több szakaszban jött létre:
- Először egy loader (betöltő) kódot extraháltak az ikonból.
- A loader kapcsolatba lépett parancs-és-vezérlő (C2) szerverekkel (pl. liveupdt.com, dealctr.com).
- A tényleges malware-t csak 10 % eséllyel és véletlenszerű időközökkel töltötte le, hogy ne legyen könnyen észlelhető.
- Kód titkosítása és futtatása
A letöltött kód speciális egyedi dekódolással és XOR-kódolással volt ellátva, amely a böngésző egyedi runtime ID-jéhez kötődött (pokoli)!
Mit csinál ez a vírus a fertőzött böngészőben?
A végső payload komoly funkciókat tartalmazott, többek között:
- Affiliate link eltérítés – E-kereskedelmi vásárlásaid jutalékait saját szerverre irányította.
- Google Analytics-szintű követés – Böngészési szokásokat és egyedi eszköz-azonosítókat gyűjtött.
- Biztonsági fejlécek eltávolítása – Instrukciókat mint a Content-Security-Policy leszedte, ami gyengíti a böngésző védelmét.
- Captcha megkerülés – Beépített megoldásokkal próbálta átverni a captcha-ellenőrzéseket.
- Rejtett iframe-ek – Láthatatlan iframe-ekkel további tartalmakat töltött be, potenciálisan hirdetési és click-fraud célokra.
Windows, macOS és Linux rendszereken futó asztali Firefox egyaránt érintett volt!
A mobil Firefox (Android/iOS) nem volt célpont, mert ott:
-
korlátozottabb az extension API,
-
nincs teljes ikon-/resource-hozzáférés.
Nagyon fontos megjegyezni, hogy a biztonsági probléma most sem a böngésző jelent, hanem te magad!
Referencia hivatkozások:
350 millió ember töltött le nem biztonságos böngészőbővítményeket két év alatt
FoxyWallet”: Több mint 40 rosszindulatú Firefox-kiegészítőt fedeztek fel
Érintettség a három hatékonyabb malware (vírusfajta) esetében:
| Érintett böngészők | GhostPoster | FoxyWallet | GreedyBear |
|---|---|---|---|
| Firefox (desktop) | ✅ (érintett) | ✅(érintett) | ✅(érintett) |
| Firefox Add-ons Store | ✅(érintett) | ✅(érintett) | ✅(érintett) |
| Chrome/Edge/ Brave/Vivaldi/stb | ❌ (nem) | ✅(érintett) | ⚠️ (opció) |
| Kitörés OS szintre | ❌ (nem) | ❌ (nem) | ❌ (nem) |
| Kripto-platformok | ❌ (nem) | 🔴 (kritikus) | ⚠️ (opció) |
| E-kereskedelem | 🔴 (kritikus) | ❌ (Nem) | ⚠️ (opció) |
Te is oszd meg ezt a cikket a biztonság érdekében!
Hozzászólások lezárva