Backdoor in malafide Firefox-extensie werkt via Instagram

[Captain Kirk]

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben een malafide Firefox-extensie ontdekt die door een groep cyberspionnen genaamd Turla is ingezet en van Instagram gebruik maakt om de controleserver te vinden. De extensie werd bij een zogeheten "watering hole" aanval ontdekt.

Hierbij hacken aanvallers websites die potentiële doelen uit zichzelf al bezoeken en plaatsen daar bijvoorbeeld een exploit die van een kwetsbaarheid in een browser of browserplug-in gebruik maakt. In dit geval werd de website van een niet nader genoemd Zwitsers beveiligingsbedrijf gehackt. In plaats van een exploit kregen bezoekers een malafide Firefox-extensie genaamd "HTML5 Encoding" aangeboden.

De extensie is in werkelijkheid een eenvoudige backdoor die vier opdrachten kan uitvoeren, namelijk het uitvoeren van willekeurige bestanden, uploaden van bestanden, downloaden van bestanden en het lezen van directories. Om verbinding met de controleserver van de aanvallers te maken maakt de backdoor gebruik van Instagram. Het adres van de controleserver wordt namelijk achterhaald aan de hand van een reactie die op het officiële Instagram-account van Britney Spears was geplaatst.

"Het feit dat Turla social media gebruikt als een manier om de controleservers te achterhalen is vrij interessant", aldus de onderzoekers. Ze merken op dat een dergelijke tactiek in het verleden ook door andere aanvallers is toegepast. Het gebruik van social media maakt het lastiger voor verdedigers. Ten eerste is het lastiger om kwaadaardig verkeer naar social media van legitiem verkeer te onderscheiden. Daarnaast geeft het aanvallers meer flexibiliteit bij het veranderen van hun controleserver alsmede het wissen van alle sporen ernaar.

In dit geval denken de onderzoekers dat het om een test gaat. Verschillende programmeerinterfaces (api's) waar de malafide extensie mee werkt zullen in toekomstige Firefox-versies namelijk verdwijnen. Ook lijkt de aanval kleinschalig te zijn opgezet. De reactie op het Instagram-account van Britney Spears leverde een Bit.ly-link op die naar de uiteindelijke url van de controleserver wees. Bit.ly houdt echter bij hoe vaak een afgekorte link is geklikt. In dit geval bleek het in totaal om 17 clicks te gaan, waaronder 3 clicks uit Nederland.

 

 

bron: security.nl