Россиян предупредили о вредоносных расширениях с вирусом GhostPoster, которые были установлены более 840 тыс. раз

Россиян предупредили о вредоносных расширениях с вирусом GhostPoster, которые были установлены более 840 тыс. раз

Изображение: recraft

В популярных магазинах расширений для Chrome, Firefox и Edge обнаружена новая волна вредоносных дополнений, объединённых в кампанию GhostPoster. По оценке исследователей, эти расширения были загружены более 840 тыс. раз, причём большинство из них активно использовалось пользователями, не подозревающими о скрытых функциях.

Первоначальное расследование провела команда Koi Security ещё в декабре. Тогда стало известно о 17 расширениях, в которых вредоносный код JavaScript был замаскирован внутри логотипов — изображений, визуально не вызывавших подозрений. Подобное решение позволяло скриптам незаметно загружать дополнительные элементы, перехватывать партнёрские ссылки и внедрять iframe-объекты для манипуляций с кликами и рекламной активностью.

В новом исследовании, опубликованном специалистами по кибербезопасности из компании LayerX, подчёркивается, что эта вредоносная кампания продолжается, несмотря на раскрытие. В список попали те же 17 расширений, ранее описанных Koi Security, но теперь с обновлённой информацией о механизмах работы и объёме заражений.

Наибольшее число установок получил модуль «Google Translate в контекстном меню», которым воспользовались более 522 тыс. пользователей. Далее следуют «Перевод выделенного текста с помощью Google» (159 тыс. установок), «Ads Block Ultimate» (48 тыс.), «Плавающий плеер» в режиме картинка-в-картинке (40 тыс.) и другие. Среди менее популярных, но всё же опасных — «Page Screenshot Clipper» с 86 загрузками и «Перевод выделенного текста по правому клику» с 283 установками.

По наблюдениям LayerX, активность GhostPoster изначально фиксировалась в браузере Microsoft Edge, после чего затронула Firefox и Chrome. Некоторые из вредоносных модулей находились в магазинах более 3 лет, что говорит о высоком уровне маскировки и успешной адаптации к системам модерации.

Отчёт LayerX содержит упоминание о наиболее сложной модификации — расширении «Instagram Downloader». В этом случае вредоносный код оказался не только в логотипе, но и в фоновом скрипте. При запуске такой скрипт анализировал байты изображения, находил скрытый разделитель и извлекал зашифрованную информацию, которую затем преобразовывал в JavaScript и исполнял на устройстве пользователя.

По мнению специалистов LayerX, этот поэтапный метод внедрения сигнализирует о росте сложности и устойчивости схемы. Исследователи делают вывод, что авторы GhostPoster совершенствуют подход — теперь используются методы, затрудняющие как статическое, так и поведенческое обнаружение.

* Корпорация Meta, владеющая Instagram, признана экстремистской организацией и запрещена на территории Российской Федерации.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: