Az új GhostPoster-átverés már 840 ezer böngészőt fertőzött meg

Ismét 17 kártékony böngészőbővítmény bukkant fel a Chrome, Firefox és Edge áruházakban, köztük olyan népszerű kiegészítőkkel, mint a Google Translate, a YouTube Download vagy az Adblock Ultimate. Ezek a GhostPoster-kampányhoz köthető bővítmények világszerte 840 000 telepítést értek el. A vizsgálatok szerint a kártékony JavaScript-kódokat a bővítmények logóképeibe rejtették, amelyek folyamatosan figyelték a böngészési tevékenységet, és hátsó ajtót nyitottak a támadók számára.

Olcsó trükkök, nagy károk

A fertőzött bővítmények egy erősen elrejtett csomagot töltenek le külső forrásból, amely a böngészési szokásokat naplózza, átirányítja az affiliate linkeket nagy webáruházaknál, illetve láthatatlan reklámkereteket szúr be csaláshoz és kattintáslopásra. Az első ilyen támadásokat az Edge áruházában azonosították, majd átterjedtek a Firefoxra és a Chrome-ra is. Egyes bővítmények már 2020 óta jelen vannak, így hosszú ideje szedik áldozataikat. A támadók módszerei is fejlődtek: például az Instagram Downloader bővítmény a rosszindulatú kódot nemcsak az ikonba, hanem külön képfájlba rejtette, és azt később Base64-dekódolva futtatta le, hogy megkerülje a vizsgálatokat.

Eltávolítják, de a veszély marad

Bár a Mozilla és a Microsoft áruházaiból már eltávolították ezeket a kiegészítőket, a korábban letöltött bővítményeken keresztül továbbra is veszélyben lehetnek a felhasználók. A Google is megerősítette, hogy törölte mind a 17 gyanús bővítményt a Chrome Web Store-ból. Mindenkinek érdemes azonnal eltávolítani ezeket a kiegészítőket, hogy védve legyen a GhostPoster trükkjeitől.

2025, adrienne, www.bleepingcomputer.com alapján