Pilnie usuń to ze swojej przeglądarki. Te rozszerzenia kradną dane

Badacze bezpieczeństwa wykryli kolejne 17 wtyczek do Chrome, Edge i Firefoksa, które łącznie zostały zainstalowane około 840 tys. razy. Rozszerzenia podszywały się m.in. pod narzędzia do tłumaczenia, blokowania reklam, pobierania z YouTube'a i Instagrama, a także robienia zrzutów ekranu. W rzeczywistości śledziły aktywność użytkowników, podmieniały linki afiliacyjne i generowały fałszywy ruch reklamowy.

Groźne rozszerzenia do przeglądarek

GhostPoster został po raz pierwszy opisany w grudniu przez Koi Security, gdy odkryto, że złośliwy kod JavaScript ukryty jest w obrazach logo rozszerzeń, a następnie doładowywany zewnętrznym, silnie zaciemnionym payloadem. Nowa analiza firmy LayerX pokazuje, że kampania zaczęła się w sklepie Microsoft Edge, a później rozlała się na Firefoksa i Chrome. Część wtyczek jest obecna w sklepach od 2020 r., co świadczy o długoletnim, skutecznym omijaniu detekcji.

Na liście znalazły się m.in. takie rozszerzenia jak:

• Google Translate in Right Click (ponad 522 tys. instalacji)
• Translate Selected Text with Google
• Ads Block Ultimate
• Floating Player – PiP Mode
• Youtube Download…
• One Key Translate
• AdBlocker
• Save Image to Pinterest on Right Click
• Instagram Downloader
• Amazon Price History

Szczególnie zaawansowany wariant odkryto w rozszerzeniu Instagram Downloader. W tym rozszerzeniu złośliwa logika została przeniesiona do skryptu tła, a ukryty ładunek przechowywany jest w dołączonym pliku graficznym, z którego kod jest wydobywany, dekodowany Base64 i wykonywany dopiero w czasie działania.