Пользователи загрузили из Chrome, Firefox и Edge расширения, связанные с мошеннической операцией GhostPoster, более 840 тыс. раз. О предыдущей атаке мы рассказывали ранее в нашем блоге.
Эксперты Koi Security вновь заговорили о GhostPoster. На этот раз они обнаружили 17 расширений, участвующих во вредоносной кампании. В их число входят блокировщики рекламы в браузере, онлайн-переводчики, инструменты для создания скриншотов, загрузчики и другие утилиты.
Вот новый список расширений, связанных с GhostPoster:
- Google Translate in Right Click (>500 тыс. установок),
- Translate Selected Text with Google,
- Ads Block Ultimate,
- Floating Player – PiP Mode,
- Convert Everything,
- Youtube Download,
- One Key Translate,
- AdBlocker,
- Save Image to Pinterest on Right Click,
- Instagram* Downloader,
- RSS Feed,
- Cool Cursor,
- Full Page Screenshot,
- Amazon Price History,
- Color Enhancer,
- Translate Selected Text with Right Click,
- Page Screenshot Clipper.
Согласно отчёту экспертов, распространение расширений с вредоносной «начинкой» началось с Edge, а затем распространилась на Chrome и Firefox. Расширения долгое время оставались незаметными и не подавали признаков вредоносной активности, некоторые — с 2020 года.
Злоумышленники выждали время, когда расширения завоюют лояльность пользователей и наберут количество установок, достаточное для запуска мошеннических операций. Развертывание вредоноса в браузере пользователя происходит благодаря технологии стеганографии — сокрытия вредоносного кода в файлах PNG-логотипов расширений.
Напомним, что злоумышленники эксплуатируют вредоносные расширения для монетизации действий пользователей в браузерах Chrome, Edge и Firefox: они занимаются мошенничеством с реферальными ссылками, искусственным накручиванием кликов по рекламе и внедрением стороннего кода.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только.
