Imate ove ekstenzije u Chrome-u ili Firefox-u: Većina korisnika to nije ni primetila špijuniranje!
Bezbednosni istraživači otkrili su nastavak zlonamerne kampanje GhostPoster, u okviru koje je identifikovano još 17 kompromitovanih ekstenzija za internet pregledače. Ovi dodaci su se distribuirali putem zvaničnih prodavnica za Chrome, Firefox i Microsoft Edge i ukupno su dostigli oko 840.000 instalacija pre nego što su uklonjeni.
Iako je kampanja javno razotkrivena još krajem prošle godine, najnoviji nalazi pokazuju da su akteri nastavili operaciju gotovo neometano. Širenje preko legitimnih kanala dodatno je umanjilo sumnju korisnika i omogućilo dugotrajno prisustvo malvera u pregledačima.
Kod skriven tamo gde ga niko ne traži
GhostPoster je prvi put privukao pažnju zbog neobične tehnike prikrivanja zlonamernog koda. Istraživači kompanije Koi Security otkrili su da je JavaScript bio sakriven unutar slika koje su korišćene kao logo ekstenzija, čime su klasične bezbednosne provere bile zaobiđene.
Jednom aktiviran, kod je omogućavao praćenje aktivnosti korisnika u pregledaču i otvaranje skrivenog backdoor pristupa. Takav pristup pokazao se izuzetno efikasnim, jer vizuelni fajlovi retko bivaju detaljno analizirani tokom bezbednosnih provera dodataka.
Od praćenja korisnika do oglasnih prevara
Nakon inicijalne infekcije, ekstenzije su preuzimale snažno zamagljen payload sa udaljenih servera. Taj payload je imao mogućnost da prikuplja podatke o istoriji pretraživanja i ponašanju korisnika na vebu.
Pored toga, kod je preusmeravao affiliate linkove na velikim e-commerce platformama i ubacivao nevidljive iframe elemente radi generisanja lažnih prikaza i klikova na oglase. Sve ove aktivnosti odvijale su se u pozadini, bez vidljivih simptoma za krajnjeg korisnika.
Popularne ekstenzije kao idealno sredstvo širenja
Prema izveštaju kompanije LayerX, među zaraženim dodacima nalazili su se alati za prevođenje teksta, blokiranje reklama, snimanje ekrana i preuzimanje sadržaja sa društvenih mreža. Upravo široka primena i svakodnevna upotreba ovakvih ekstenzija omogućile su brzo i masovno širenje kampanje.
Kampanja je započela u Microsoft Edge okruženju, a zatim se proširila na Firefox i Chrome. Posebno zabrinjava podatak da su se neke od kompromitovanih ekstenzija nalazile u zvaničnim prodavnicama još od 2020. godine, što ukazuje na dugotrajnu i pažljivo održavanu operaciju.
Evolucija malvera i upozorenje korisnicima
LayerX je u jednoj od analiziranih ekstenzija, „Instagram Downloader“, identifikovao napredniju varijantu zlonamernog koda. Umesto da se oslanja isključivo na ikonu, malver je premešten u pozadinsku skriptu, dok je payload skriven u posebnom fajlu sa slikom, što ukazuje na veću modularnost i otpornost na analizu.
Iako su sporne ekstenzije uklonjene iz prodavnica Google-a, Mozille i Microsofta, rizik za korisnike koji su ih ranije instalirali i dalje postoji. Stručnjaci savetuju da se proveri lista dodataka u pregledaču i uklone svi sumnjivi ili nepotrebni alati, posebno oni koji zahtevaju široke dozvole za pristup sadržaju stranica i podacima o pretraživanju.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Zaspala je za volanom, a onda se desio obrt