Pesquisadores de segurança da empresa LayerX descobriram 17 novas extensões maliciosas que afetam os navegadores Chrome, Firefox e Edge. Essas extensões, que monitoram a atividade dos usuários e instalam backdoors, já acumulam mais de 840.000 downloads e fazem parte da campanha GhostPoster, revelada pela Koi Security em dezembro.
Detalhes da Campanha GhostPoster
A campanha GhostPoster, que começou a ser investigada em 2020, tem como objetivo roubar links de afiliados e monitorar a navegação dos usuários. As novas extensões maliciosas se somam a outras 17 já identificadas anteriormente, que também estavam envolvidas em atividades de monitoramento e instalação de backdoors.
Como as Extensões Funcionam
O código malicioso, em muitos casos, estava escondido na logo PNG das extensões. Isso permitia que o malware baixasse um payload principal de um servidor remoto, dificultando a detecção por profissionais de segurança. As extensões baixavam o código malicioso apenas 10% das vezes, poupando alguns usuários de serem afetados diretamente.
Impacto e Medidas Tomadas
Além do roubo de links de afiliados, as extensões injetavam monitoramento de Google Analytics em todas as páginas visitadas, removendo headers de segurança de respostas HTTP. As extensões já foram removidas dos repositórios do Edge e do Firefox, mas usuários que ainda as tiverem instaladas são aconselhados a removê-las imediatamente e a apagar qualquer cache guardado.
Opinião
A descoberta dessas extensões maliciosas destaca a importância de manter a segurança digital em dia e a necessidade de vigilância constante ao instalar novos add-ons nos navegadores.
