Otkriveno 17 zlonamjernih ekstenzija: GhostPoster kampanja i dalje ugrožava korisnike pretraživača

Stručnjaci za sajber bezbjednost otkrili su još 17 zlonamjernih ekstenzija povezanih s GhostPoster kampanjom, koje su se širile putem zvaničnih prodavnica dodataka za Chrome, Firefox i Microsoft Edge. Ove ekstenzije su, prije uklanjanja, ukupno zabilježile oko 840.000 instalacija.

 

Kako je kampanja prvi put otkrivena

 

GhostPoster kampanju su prvi dokumentovali istraživači kompanije Koi Security u decembru, kada su otkrili da pojedine ekstenzije kriju zlonamjerni JavaScript kod unutar svojih logo slika. Taj skriveni kod pratio je aktivnost korisnika u pretraživaču i ubacivao nevidljivi “backdoor”.

 

Šta radi zlonamjerni kod

 

Nakon aktivacije, kod preuzima snažno obfuskiran payload sa eksternih servera. On omogućava praćenje istorije pretrage, preusmjeravanje affiliate linkova na velikim e-commerce platformama, kao i ubacivanje nevidljivih iframeova koji se koriste za oglasne prevare i klik-fraud.

 

Lažne korisne ekstenzije s velikim brojem instalacija

 

Prema novom izvještaju kompanije LayerX, kampanja je i dalje aktivna uprkos javnom razotkrivanju. Među novootkrivenim ekstenzijama nalaze se popularni alati za prevođenje teksta, blokiranje reklama, snimanje ekrana i preuzimanje sadržaja sa YouTube-a i Instagrama. Neke od njih su:
Google Translate in Right Click, Translate Selected Text with Google, Ads Block Ultimate, Floating Player – PiP Mode, Instagram Downloader, Full Page Screenshot, Amazon Price History i druge.

 

Dugotrajna i uspješna operacija

 

Istraživači navode da je kampanja započela u Microsoft Edge prodavnici, a zatim se proširila na Firefox i Chrome. Posebno zabrinjava podatak da su neke zaražene ekstenzije bile dostupne u zvaničnim prodavnicama još od 2020. godine, što ukazuje na dugoročnu i veoma uspješnu operaciju.

 

Naprednija varijanta zlonamjernog koda

 

Iako su osnovne tehnike prikrivanja slične onima koje je ranije opisao Koi Security, LayerX je otkrio napredniju verziju malvera u ekstenziji “Instagram Downloader”. U tom slučaju, zlonamjerni kod je premješten u pozadinski skript ekstenzije, dok je payload sakriven unutar posebne slike, a ne samo u ikoni. Ovakav pristup ukazuje na evoluciju ka većoj otpornosti, modularnosti i dužem periodu prikrivanja od bezbjednosnih analiza.

 

Šta korisnici treba da urade

 

LayerX navodi da su novootkrivene ekstenzije uklonjene iz Mozilla i Microsoft prodavnica dodataka, dok je Google potvrdio njihovo uklanjanje iz Chrome Web Store-a. Ipak, korisnici koji su ih ranije instalirali i dalje mogu biti izloženi riziku.

Stručnjaci savjetuju korisnicima da pregledaju sve instalirane ekstenzije u svojim pretraživačima i uklone sve sumnjive ili nepotrebne dodatke, naročito one koji traže široke dozvole za pristup sadržaju stranica i podacima o pregledanju interneta.