Outra onda de extensões maliciosas de navegador capazes de rastrear a atividade do usuário e comprometer a privacidade foi encontrada no Chrome, Firefox e Edge, algumas das quais podem estar ativas há até cinco anos.
A campanha, conhecida como GhostPoster, foi identificada pela Koi Security em dezembro e incluía 17 complementos do Firefox projetados para monitorar a atividade de navegação dos usuários. Os atores da ameaça plantaram código JavaScript malicioso no logotipo PNG da extensão, que serviu como um carregador de malware para recuperar a carga principal de um servidor remoto. Pesquisadores da LayerX encontraram 17 extensões maliciosas adicionais em vários navegadores que foram instaladas coletivamente mais de 840.000 vezes.
Campanha de malware GhostPoster em andamento
De acordo com o relatório da LayerX, o GhostPoster inicialmente teve como alvo o Microsoft Edge e depois expandiu para o Chrome e Firefox. Os complementos maliciosos podem estar ativos já em 2020 e incluem o seguinte:
-
Google Tradutor com clique direito
-
Traduzir texto selecionado com o Google
-
Bloco de anúncios final
-
Player Flutuante – Modo PiP
-
Converta tudo
-
Baixar Youtube
-
Tradução de uma chave
-
Bloqueador de anúncios
-
Salvar imagem no Pinterest com o botão direito
-
Baixador do Instagram
-
Feed RSS
-
Cursor legal
-
Captura de tela de página inteira
-
Histórico de preços da Amazon
-
Intensificador de cores
-
Traduzir o texto selecionado com o botão direito
-
Clipper de captura de tela da página
Somente o “Google Translate in Right Click” teve 522.398 instalações. O próximo complemento mais popular foi “Traduzir texto selecionado com o Google”, com 159.645 instalações. Os pesquisadores também encontraram uma variante mais sofisticada da campanha no “Instagram Downloader”, que teve 3.822 instalações.
O que você acha até agora?
O malware GhostPoster possui proteções integradas para impedir a detecção – por exemplo, a ativação é atrasada em 48 horas e ele só se comunica com servidores de ataque remoto sob certas condições. Uma vez instaladas, porém, as extensões que fazem parte do GhostPoster têm a capacidade de sequestrar o tráfego afiliado (e redirecionar comissões para invasores), remover e injetar cabeçalhos HTTP para enfraquecer a segurança, ignorar CAPTCHA e injetar iframes e scripts para fraude de cliques e rastreamento de usuários. A única boa notícia é que o malware não coleta credenciais nem se envolve em phishing.
Embora as extensões maliciosas não estejam mais disponíveis para adição no Chrome, Edge e Firefox, os usuários que as possuem instaladas devem removê-las imediatamente, pois permanecem ativas até serem explicitamente excluídas.
