پنهان‌سازی بدافزار در تصاویر و فونت‌ها در کمپین گسترده StegoAd

شرکت مایکروسافت (Microsoft) یک کمپین گسترده بدافزاری با نام StegoAd را در فروشگاه افزونه‌های مرورگر Edge متوقف کرد. این کمپین با استفاده از تکنیک پنهان‌نگاری (Steganography)، کدهای مخرب را در فایل‌های تصویری و فونت پنهان می‌کرد. بدافزار چند روز پس از نصب فعال می‌شد و اطلاعات حساس کاربران را سرقت می‌کرد.

نصب میلیون‌ها افزونه آلوده در Edge

مایکروسافت اعلام کرده کمپین StegoAd از سال ۲۰۲۱ فعالیت داشته است. این شرکت ۱۱۹ افزونه را به یک عامل تهدید نسبت می‌دهد. مهاجمان این افزونه‌ها را در قالب ابزارهای محبوب منتشر کردند. مسدودکننده تبلیغات، VPN، مترجم و دانلودکننده ویدئو از جمله این ابزارها بودند.

این افزونه‌ها عملکرد عادی داشتند و کاربران برای آن‌ها امتیاز مثبت ثبت کرده بودند. همین موضوع باعث شد فعالیت آن‌ها برای مدت طولانی جلب توجه نکند.

بر اساس گزارش مایکروسافت، کاربران این ۱۱۹ افزونه را تا ۲.۶ میلیون بار نصب کرده‌اند. البته این عدد تعداد واقعی قربانیان را نشان نمی‌دهد. بسیاری از نمونه‌ها هرگز کد مخرب را اجرا نکردند، زیرا بدافزار تنها در شرایط خاص فعال می‌شد.

استگانوگرافی؛ روش پیشرفته پنهان کردن بدافزار

مهاجمان در نسخه‌های اولیه، کدهای JavaScript را پس از نشانگر IEND در فایل‌های PNG قرار می‌دادند. در نتیجه تصویر بدون مشکل نمایش داده می‌شد، اما ابزارهای امنیتی کد مخرب را تشخیص نمی‌دادند.

پس از شناسایی این روش، مهاجمان به تصاویر WebP و فونت‌های WOFF2 روی آوردند. آن‌ها کدهای مخرب را در گلیف‌ها و متادیتای فونت مخفی کردند. مایکروسافت اعلام کرده استفاده از استگانوگرافی در این مقیاس، در میان افزونه‌های مرورگر بسیار کم‌سابقه است.

برخی افزونه‌ها هیچ بدافزاری را در خود نداشتند. این افزونه‌ها پس از نصب، یک تصویر عادی را از سرور فرماندهی و کنترل (C2) دریافت می‌کردند. سپس تصویر را با چند مرحله رمزگشایی پردازش و کد مخرب را اجرا می‌کردند.

مهاجمان همچنین سرورهای خود را طوری طراحی کرده بودند که فقط به مرورگرهای واقعی پاسخ دهند. افزونه‌ها نیز هنگام شناسایی DevTools اجرای بدافزار را به تعویق می‌انداختند تا تحلیل امنیتی دشوار شود.

سرقت اطلاعات کاربران فراتر از کلاهبرداری تبلیغاتی

کمپین StegoAd فقط برای نمایش تبلیغات ناخواسته استفاده نمی‌شد. مهاجمان مسیر جستجوی کاربران را تغییر می‌دادند و کمیسیون همکاری در فروش وب‌سایت‌هایی مانند Amazon، eBay و AliExpress را سرقت می‌کردند.

بررسی مایکروسافت نشان داد بدافزار یک درِ پشتی (Backdoor) برای اجرای کد به صورت از راه دور نیز دارد. این قابلیت به مهاجمان اجازه می‌دهد هر کد مبتنی بر JavaScript را اجرا کنند.

بدافزار همچنین اطلاعات ورود حساب‌های Google را سرقت می‌کرد. کدهای احراز هویت دومرحله‌ای، اطلاعات مدیران WordPress و کوکی‌های مرورگر نیز در فهرست اهداف قرار داشتند. مهاجمان از این اطلاعات برای ربودن نشست کاربران استفاده می‌کردند.

مایکروسافت اعلام کرده مهاجمان از شناسه‌های Google Analytics برای پایش کمپین استفاده کرده‌اند. آن‌ها همچنین از Cloudflare Workers، GitHub Pages و بیش از ۱۰ دامنه C2 برای حفظ پایداری زیرساخت خود بهره می‌بردند.

شباهت به کمپین‌های قدیمی

مایکروسافت شباهت‌های زیادی میان StegoAd و کمپین‌های DarkSpectre، ShadyPanda و GhostPoster پیدا کرده است. این گروه‌ها از روش‌های مشابه برای پنهان‌سازی کد استفاده کرده‌اند. برخی نام‌های افزونه‌ها نیز در هر دو کمپین یکسان است.

مایکروسافت هنوز نام عامل تهدید را اعلام نکرده است. با این حال، این شرکت تأکید می‌کند که فعالیت این گروه همچنان ادامه دارد.

کاربران چه اقدامی انجام دهند؟

مایکروسافت تمام ۱۱۹ افزونه مخرب را از فروشگاه Edge حذف کرده است. این شرکت همچنین بیش از ۹۰ حساب توسعه‌دهنده را مسدود کرده.

کاربران باید فهرست افزونه‌های نصب‌شده خود را بررسی کنند. اگر یکی از این افزونه‌ها روی مرورگر نصب بوده است، بهتر است رمز عبور حساب‌های مهم مانند Google، WordPress و حساب‌های بانکی را تغییر دهند.

مایکروسافت همچنین بررسی سابقه ورود به حساب‌ها را توصیه می‌کند. فعال کردن احراز هویت چندعاملی و استفاده از کلیدهای امنیتی سخت‌افزاری نیز می‌تواند خطر سرقت اطلاعات را کاهش دهد.