Вредоносные расширения GhostPoster скрывались в браузерах пять лет и набрали 840 тысяч установок
Кампания вредоносного ПО GhostPoster работала незаметно до пяти лет, распространяясь через расширения для браузеров Chrome, Firefox и Edge. Исследователи из Koi Security первыми проанализировали подозрительное расширение для Firefox, выявив хитрый метод обхода проверок. Позже компания LayerX обнаружила ещё 17 связанных расширений с той же инфраструктурой и тактиками.
Общий объём установок превысил 840 тысяч. Злоумышленники действовали осторожно: начинали с Microsoft Edge, затем расширялись на Chrome и Firefox, избегая быстрого роста, чтобы не привлечь внимание. Один продвинутый вариант использовал дополнительные методы уклонения и набрал около 3800 установок.
Главная особенность GhostPoster — скрытие вредоносного кода в безобидном PNG-изображении (логотипе расширения). Полезная нагрузка декодировалась и запускалась уже после установки, что позволяло обходить статический анализ и ручные проверки в магазинах. Это обеспечило долгосрочную скрытность кампании.
После публикации отчётов Mozilla и Microsoft удалили выявленные расширения из официальных магазинов. Однако уже установленные копии остаются активными на устройствах пользователей и требуют ручного удаления. Эксперты рекомендуют регулярно проверять список расширений, ограничивать их разрешения и удалять ненужные.
Залогиньтесь, чтобы писать комментарии