Uma nova vaga de extensões maliciosas, associada à campanha "GhostPoster", foi detetada nas lojas oficiais do Chrome, Firefox e Edge. No total, estas ferramentas acumularam cerca de 840.000 instalações, escondendo código perigoso onde menos se esperava: nas próprias imagens dos logótipos.
Embora algumas destas extensões já tenham sido removidas pelas plataformas, o risco persiste para quem as tem instaladas. A campanha, originalmente identificada em dezembro, continua ativa e a evoluir, utilizando técnicas sofisticadas para evitar a deteção.
Ocultação de código em imagens
A campanha GhostPoster foi inicialmente reportada por investigadores da Koi Security, que descobriram 17 extensões a utilizar esteganografia — a prática de esconder informação dentro de outros ficheiros. Neste caso, código JavaScript malicioso estava oculto nos píxeis das imagens dos logótipos das extensões.
Uma vez instalado, este código funcionava como uma "porta dos fundos" (backdoor), monitorizando a atividade do navegador da vítima. O objetivo principal passava por injetar iframes invisíveis para fraude publicitária e sequestrar links de afiliados em grandes plataformas de comércio eletrónico, desviando receitas para os atacantes.
Um novo relatório da plataforma de segurança LayerX revela que a campanha não só continua ativa, como expandiu o seu alcance. Segundo os investigadores, a operação teve origem no Microsoft Edge, alastrando-se posteriormente para o Firefox e Chrome. Algumas destas ferramentas estavam disponíveis nas lojas desde 2020, o que indica uma operação de longo prazo bem-sucedida.
Lista das extensões afetadas
A LayerX identificou um novo conjunto de 17 extensões que fazem parte desta campanha. Entre as mais populares estão ferramentas de tradução, bloqueadores de anúncios e descarregadores de vídeo.
As extensões identificadas incluem:
Google Translate in Right Click (522.398 instalações)
Translate Selected Text with Google (159.645 instalações)
Ads Block Ultimate (48.078 instalações)
Floating Player – PiP Mode (40.824 instalações)
Convert Everything (17.171 instalações)
Youtube Download (11.458 instalações)
One Key Translate (10.785 instalações)
AdBlocker (10.155 instalações)
Save Image to Pinterest on Right Click (6.517 instalações)
Instagram Downloader (3.807 instalações)
RSS Feed (2.781 instalações)
Cool Cursor (2.254 instalações)
Full Page Screenshot (2.000 instalações)
Amazon Price History (1.197 instalações)
Color Enhancer (712 instalações)
Translate Selected Text with Right Click (283 instalações)
Page Screenshot Clipper (86 instalações)
Evolução técnica e recomendações
A análise técnica revelou uma variante mais avançada na extensão "Instagram Downloader". Ao contrário das versões anteriores, que escondiam o código apenas no ícone, esta variante moveu a lógica maliciosa para o script de fundo da extensão e utilizou um ficheiro de imagem incluído no pacote como contentor para a carga útil.
O script verifica os bytes da imagem à procura de um delimitador específico, extrai os dados ocultos e executa-os como JavaScript. Segundo a LayerX, esta abordagem demonstra uma evolução no sentido de tornar o malware mais modular, resiliente e capaz de permanecer inativo por longos períodos para evitar deteção por mecanismos de segurança comportamental.
Apesar de as extensões já não estarem presentes nas lojas da Microsoft e Mozilla, os utilizadores que as instalaram anteriormente continuam em risco. É fortemente recomendado verificar a lista de extensões instaladas no navegador e remover imediatamente qualquer uma que corresponda aos nomes listados, garantindo assim a segurança dos dados e da navegação.
Nenhum comentário
Seja o primeiro!