Eksperci z firmy LayerX ostrzegają przed 17 złośliwymi rozszerzeniami do przeglądarek, które mogą podszywać się pod narzędzia do pobierania wideo, tłumaczenia tekstów czy poprawy wyglądu stron. Okazuje się, iż niektóre z nich pobrano już setki tysięcy razy. Dodatkowo część z nich była aktywna choćby przez pięć lat, narażając użytkowników na śledzenie i inne niebezpieczne działania. Rozszerzenia działały w popularnych przeglądarkach – Firefox, Chrome czy Edge, dlatego warto sprawdzić swoje dodatki i natychmiast usunąć podejrzane pozycje.
Te przeglądarkowe rozszerzenia mogą przejąć kontrolę nad Twoim komputerem
Mozilla i Microsoft usunęły ze swoich sklepów wszystkie wykryte złośliwe rozszerzenia. Jednak osoby, które pobrały je wcześniej, powinny natychmiast je odinstalować. Wśród najbardziej popularnych dodatków znalazło się „Google Translate in Right Click” z ponad 500 tysiącami pobrań oraz „Translate Selected Text with Google”, które zainstalowano niemal 160 tys. razy.
Złośliwe rozszerzenia były częścią kampanii GhostPoster, wykrytej po raz pierwszy przez Koi Security. Wykorzystywały technikę steganografii, czyli ukrywania kodu lub linków w obrazach, aby infekować urządzenia. Dodatki posiadały także mechanizm opóźnionego uruchomienia. Ich szkodliwe działania mogły ujawnić się niekiedy dopiero po wielu tygodniach lub miesiącach.
Uwaga na groźne rozszerzenia w przeglądarkach internetowychPo aktywacji rozszerzenia były w stanie modyfikować nagłówki HTTP, osłabiać polityki bezpieczeństwa stron, przejmować ruch afiliacyjny, wstrzykiwać złośliwe skrypty do śledzenia użytkowników, a także automatycznie rozwiązywać CAPTCHA, dając atakującym niemal pełną kontrolę nad przeglądarką.
Lista szkodliwych dodatków obejmuje między innymi: Page Screenshot Clipper, Full Page Screenshot, Convert Everything, Translate Selected Text with Google, Youtube Download, RSS Feed, Ads Block Ultimate, AdBlocker, Color Enhancer, Floating Player – PiP Mode, One Key Translate, Cool Cursor, Google Translate in Right Click, Translate Selected Text with Right Click, Amazon Price History oraz Save Image to Pinterest on Right Click.
Na tym wcale nie koniec zagrożeń
Kampania GhostPoster to jednak tylko wierzchołek góry lodowej. Poprzednie śledztwa Koi ujawniły inne złośliwe rozszerzenia, w tym bardzo popularny Urban VPN Proxy dla Google Chrome. Został on zainstalowany przez około 8 milionów użytkowników.
Dodatek ten potajemnie zbierał dane z rozmów prowadzonych z narzędziami AI (ChatGPT, Claude czy Gemini). Następnie sprzedawał je brokerom danych. Korzystał z tej samej podstępnej techniki co GhostPoster. Ukrywał kod w obrazach PNG, po czym przekierowywał użytkownika na przygotowane wcześniej strony, które wstrzykiwały złośliwe oprogramowanie.
Źródło: PCMag
