⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft encerrou uma operação de extensão maliciosa de longa duração na loja Edge Add-ons que escondia suas cargas dentro de arquivos comuns de imagem e fonte e acordou dias após a instalação para roubar credenciais e executar fraude publicitária.
A empresa o chama de StegoAd, uma mistura de esteganografia e adware, e vincula 119 extensões a um único ator de ameaça que, segundo ela, está ativo desde pelo menos 2021.
As extensões eram do tipo que as pessoas instalam sem pensar duas vezes: bloqueadores de anúncios, VPNs, tradutores, baixadores de vídeo. Cada um fez seu trabalho e recebeu críticas. O código malicioso permaneceu inativo até que a extensão eliminou uma pilha de verificações de evasão, e foi assim que permaneceu na loja por anos.
Combinadas, as 119 extensões tinham uma base instalada de até 2,6 milhões de usuários. A Microsoft deixa claro que este é um limite, não uma contagem de vítimas.
Um atraso de vários dias, validação do lado do servidor e uma porta de execução de 10% em algumas variantes fizeram com que a carga útil nunca fosse disparada em muitas instalações. Não se sabe quantas pessoas foram realmente comprometidas.
Código escondido em imagens e fontes
O truque que dá nome à campanha é a esteganografia: colocar código executável dentro de arquivos que parecem completamente normais. As primeiras variantes acrescentavam JavaScript após o marcador IEND de um ícone PNG, de modo que a imagem era renderizada corretamente em todos os lugares, ao mesmo tempo em que carregava uma carga útil que os scanners estáticos nunca sinalizavam.
À medida que a detecção foi detectada, o ator mudou para imagens WebP e depois para arquivos de fonte WOFF2, ocultando o código em intervalos de glifos que são lidos como texto asiático ou metadados de fonte. A Microsoft considera a esteganografia nesta escala rara no ecossistema de extensões de navegador.
Algumas variantes de alto impacto nem mesmo enviaram a carga localmente. Eles obtiveram uma imagem de aparência normal de um servidor de comando e controle. A extensão o decodificou por meio de camadas de trocas de casos, trocas de dígitos, Base64 e XOR e, em seguida, verificou-o em uma assinatura antes de executá-lo.
O servidor C2 apenas serviu o arquivo real para solicitações que passaram por uma impressão digital e uma verificação do User-Agent; qualquer pessoa que investigasse diretamente, inclusive os pesquisadores, recebia uma resposta falsa e vazia.
As extensões também procuravam DevTools abertos e estendiam sua inatividade se detectassem um analista procurando.
Fraude publicitária em cima, roubo de credenciais em baixo
O dano visível foi a fraude publicitária: anúncios injetados, comissões de afiliados sequestradas na Amazon, eBay e AliExpress e pesquisas redirecionadas, todos roubando dinheiro e degradando a navegação.
A análise da Microsoft de cargas recuperadas encontrou muito mais por baixo. As cargas incluíam um backdoor de execução remota de código que executava JavaScript arbitrário enviado do servidor. Eles também roubaram credenciais do Google e códigos de segundo fator no login, coletaram logins de administrador do WordPress e exfiltraram cookies em massa para sequestro de sessão.
A Microsoft afirma que sete IDs de rastreamento do Google Analytics parecem ter servido como telemetria secreta, fornecendo ao operador painéis quase em tempo real sobre a campanha por meio da própria infraestrutura do Google.
O encanamento correspondia à ambição. A Microsoft conta mais de dez domínios C2 com failover automático. O ator fez proxy do tráfego por meio do Cloudflare Workers e abusou das páginas do GitHub para hospedar beacons.
Uma estrutura polimórfica percorreu aproximadamente 66 extensões em mais de 15 variantes de nomenclatura, e a operação migrou do Manifest V2 para V3 conforme o ator se adaptava às mudanças de plataforma.
O que fazer
A Microsoft afirma que removeu todas as 119 extensões e suspendeu as mais de 90 contas de desenvolvedores por trás delas. A lista completa de códigos de extensão está no relatório técnico da empresa.
Abra edge://extensions e compare os complementos instalados com essa lista. Se alguma coisa corresponder, ou se o Edge tiver removido automaticamente, trate o navegador como exposto. Altere as senhas do Google, WordPress, contas bancárias e outras contas confidenciais.
Revise a atividade de login recente e ative a autenticação forte de dois fatores. As chaves de segurança de hardware resistem a esse tipo de roubo de credenciais de uma forma que os códigos SMS não conseguem. A Microsoft publicou indicadores de comprometimento para uso no Chrome, Firefox e outros navegadores Chromium.
StegoAd parece menos uma nova campanha do que um novo rosto em uma campanha conhecida. Sua carga de credencial é exfiltrada para mitarchive.info, um domínio que a Koi Security vincula ao DarkSpectre, a operação chinesa vinculada em dezembro às campanhas de extensão ShadyPanda e GhostPoster.
A conexão vai além do domínio. StegoAd esconde o código dentro do próprio ícone de uma extensão, o mesmo método que o GhostPoster usou meses antes. Os dois até compartilham nomes de extensões, como Ads Block Ultimate.
A Microsoft não nomeou o ator, mas a sobreposição é clara. A operadora ainda está ativa, diz a Microsoft.
A empresa o chama de StegoAd, uma mistura de esteganografia e adware, e vincula 119 extensões a um único ator de ameaça que, segundo ela, está ativo desde pelo menos 2021.
As extensões eram do tipo que as pessoas instalam sem pensar duas vezes: bloqueadores de anúncios, VPNs, tradutores, baixadores de vídeo. Cada um fez seu trabalho e recebeu críticas. O código malicioso permaneceu inativo até que a extensão eliminou uma pilha de verificações de evasão, e foi assim que permaneceu na loja por anos.
Combinadas, as 119 extensões tinham uma base instalada de até 2,6 milhões de usuários. A Microsoft deixa claro que este é um limite, não uma contagem de vítimas.
Um atraso de vários dias, validação do lado do servidor e uma porta de execução de 10% em algumas variantes fizeram com que a carga útil nunca fosse disparada em muitas instalações. Não se sabe quantas pessoas foram realmente comprometidas.
Código escondido em imagens e fontes
O truque que dá nome à campanha é a esteganografia: colocar código executável dentro de arquivos que parecem completamente normais. As primeiras variantes acrescentavam JavaScript após o marcador IEND de um ícone PNG, de modo que a imagem era renderizada corretamente em todos os lugares, ao mesmo tempo em que carregava uma carga útil que os scanners estáticos nunca sinalizavam.
À medida que a detecção foi detectada, o ator mudou para imagens WebP e depois para arquivos de fonte WOFF2, ocultando o código em intervalos de glifos que são lidos como texto asiático ou metadados de fonte. A Microsoft considera a esteganografia nesta escala rara no ecossistema de extensões de navegador.
Algumas variantes de alto impacto nem mesmo enviaram a carga localmente. Eles obtiveram uma imagem de aparência normal de um servidor de comando e controle. A extensão o decodificou por meio de camadas de trocas de casos, trocas de dígitos, Base64 e XOR e, em seguida, verificou-o em uma assinatura antes de executá-lo.
O servidor C2 apenas serviu o arquivo real para solicitações que passaram por uma impressão digital e uma verificação do User-Agent; qualquer pessoa que investigasse diretamente, inclusive os pesquisadores, recebia uma resposta falsa e vazia.
As extensões também procuravam DevTools abertos e estendiam sua inatividade se detectassem um analista procurando.
Fraude publicitária em cima, roubo de credenciais em baixo
O dano visível foi a fraude publicitária: anúncios injetados, comissões de afiliados sequestradas na Amazon, eBay e AliExpress e pesquisas redirecionadas, todos roubando dinheiro e degradando a navegação.
A análise da Microsoft de cargas recuperadas encontrou muito mais por baixo. As cargas incluíam um backdoor de execução remota de código que executava JavaScript arbitrário enviado do servidor. Eles também roubaram credenciais do Google e códigos de segundo fator no login, coletaram logins de administrador do WordPress e exfiltraram cookies em massa para sequestro de sessão.
A Microsoft afirma que sete IDs de rastreamento do Google Analytics parecem ter servido como telemetria secreta, fornecendo ao operador painéis quase em tempo real sobre a campanha por meio da própria infraestrutura do Google.
O encanamento correspondia à ambição. A Microsoft conta mais de dez domínios C2 com failover automático. O ator fez proxy do tráfego por meio do Cloudflare Workers e abusou das páginas do GitHub para hospedar beacons.
Uma estrutura polimórfica percorreu aproximadamente 66 extensões em mais de 15 variantes de nomenclatura, e a operação migrou do Manifest V2 para V3 conforme o ator se adaptava às mudanças de plataforma.
O que fazer
A Microsoft afirma que removeu todas as 119 extensões e suspendeu as mais de 90 contas de desenvolvedores por trás delas. A lista completa de códigos de extensão está no relatório técnico da empresa.
Abra edge://extensions e compare os complementos instalados com essa lista. Se alguma coisa corresponder, ou se o Edge tiver removido automaticamente, trate o navegador como exposto. Altere as senhas do Google, WordPress, contas bancárias e outras contas confidenciais.
Revise a atividade de login recente e ative a autenticação forte de dois fatores. As chaves de segurança de hardware resistem a esse tipo de roubo de credenciais de uma forma que os códigos SMS não conseguem. A Microsoft publicou indicadores de comprometimento para uso no Chrome, Firefox e outros navegadores Chromium.
StegoAd parece menos uma nova campanha do que um novo rosto em uma campanha conhecida. Sua carga de credencial é exfiltrada para mitarchive.info, um domínio que a Koi Security vincula ao DarkSpectre, a operação chinesa vinculada em dezembro às campanhas de extensão ShadyPanda e GhostPoster.
A conexão vai além do domínio. StegoAd esconde o código dentro do próprio ícone de uma extensão, o mesmo método que o GhostPoster usou meses antes. Os dois até compartilham nomes de extensões, como Ads Block Ultimate.
A Microsoft não nomeou o ator, mas a sobreposição é clara. A operadora ainda está ativa, diz a Microsoft.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #remove #119 #extensões #de #borda #que #ocultavam #malware #em #imagens #e #fontes
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário