Более 840 000 пользователей пострадали от вредоносных расширений для браузера. Удалите их немедленно!

Как работает атака GhostPoster

Первый анализ кампании GhostPoster был представлен экспертами компании Koi Security. Они обнаружили эту кампанию в конце прошлого года и выяснили, что вредоносный код содержится не в самом расширении, а зашифрован в данных изображения соответствующего логотипа.

Вместо немедленных действий расширение спроектировано для шпионажа за поведением пользователя после установки. Затем через бэкдор в коде логотипа загружается другой скрипт, скрытый за тремя знаками «=».

После выполнения этот скрипт, среди прочего, манипулирует партнёрскими ссылками и перенаправляет пользователей на мошеннические веб-сайты и предложения. Злоумышленники также могут заражать скомпрометированные устройства вредоносным ПО, получая расширенные права управления и используя их в своих целях.

Особую тревогу вызывает тот факт, что эти расширения были доступны в официальных магазинах Mozilla и Microsoft с 2020 года. Они оставались практически незамеченными более пяти лет и, вероятно, успели заразить свыше 840 000 систем за это время.

Что необходимо предпринять немедленно

Mozilla и Microsoft оперативно отреагировали и удалили вредоносные расширения из своих магазинов. Однако пользователям, которые уже успели их установить, необходимо удалить расширения вручную, иначе они останутся активными и продолжат наносить ущерб.

На данный момент идентифицированы следующие вредоносные расширения:

• AdBlock
• Ads Block Ultimate
• Amazon Price History
• Color Enhancer
• Convert Everything
• Cool Cursor
• Floating Player – PiP Mode
• Free MP3 Downloader
• Free VPN Forever
• Full Page Screenshot
• Google Translate in Right Click
• I Like Weather
• Instagram Downloader
• One Key Translate
• Page Screenshot Clipper
• RSS Feed
• Save Image to Pinterest on Right Click
• Translate Selected Text with Google
• Translate Selected Text with Right Click
• Weather Best Forecast
• World Wide VPN
• YouTube Download