✔Браузерные расширения GhostPoster были установлены более 840 000 раз - «Новости»

25 января 2026 0 Изображения / Новости / Ссылки / Заработок / Текст / Преимущества стилей 0

Напомним, что впервые о кампании GhostPoster рассказали исследователи из Koi Security в декабре прошлого года. Тогда были выявлены 17 расширений для Firefox, которые использовали стеганографию для сокрытия вредоносного jаvascript-кода в PNG-файлах логотипjd. Зараженные аддоны установили более 50 000 пользователей.

Эта малварь загружала сильно обфусцированную полезную нагрузку с внешнего ресурса. Та следила за действиями пользователя, подменяла партнерские ссылки на крупных торговых площадках и внедряла невидимые iframe для рекламного мошенничества и накрутки кликов.

Новый отчет экспертов из компании LayerX показывает, что эта вредоносная кампания продолжается, хотя специалисты Koi Security предали происходящее огласке. Теперь исследователи выявили еще 17 вредоносных расширений:

Google Translate in Right Click — 522 398 установок;

Translate Selected Text with Google — 159 645 установок;

Ads Block Ultimate — 48 078 установок;

Floating Player – PiP Mode — 40 824 установки;

Convert Everything — 17 171 установка;

Youtube Download — 11 458 установок;

One Key Translate — 10 785 установок;

AdBlocker — 10 155 установок;

Save Image to Pinterest on Right Click — 6517 установок;

Instagram* Downloader — 3807 установок;

RSS Feed — 2781 установка;

Cool Cursor — 2254 установки;

Full Page Screenshot — 2000 установок;

Amazon Price History — 1197 установок;

Color Enhancer — 712 установок;

Translate Selected Text with Right Click — 283 установки;

Page Screenshot Clipper — 86 установок.

По данным исследователей, кампания началась с Microsoft Edge, а затем распространилась на Firefox и Chrome. При этом часть опасных расширений присутствовала в официальных магазинах еще с 2020 года.

В целом методы обхода защиты и возможности малвари после успешной атаки остаются прежними, как ранее описывали специалисты Koi Security. Однако в LayerX заметили более продвинутый вариант вредоноса в расширении Instagram Downloader. В этом случае логика подготовки вредоносного кода была перенесена в фоновый скрипт расширения, а в качестве контейнера для скрытой полезной нагрузки использовался встроенный файл изображения, а не только логотип.

Во время работы фоновый скрипт сканирует байты изображения в поисках специального разделителя (>>), извлекает и сохраняет скрытые данные в локальном хранилище расширения, а затем декодирует их из Base64 и выполняет как jаvascript.

«Этот поэтапный процесс выполнения демонстрирует явную эволюцию в сторону более длительного периода бездействия, модульности и устойчивости к статическим и поведенческим механизмам обнаружения», — отмечают в LayerX.

В настоящее время все вредоносные расширения удалены из магазинов Mozilla, Microsoft и Chrome Web Store.

* Запрещен в России. Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена в России.

В магазинах расширений для Chrome, Firefox и Edge обнаружили 17 новых вредоносных расширений, связанных с кампанией GhostPoster. Пользователи суммарно установили их 840 000 раз. Напомним, что впервые о кампании GhostPoster рассказали исследователи из Koi Security в декабре прошлого года. Тогда были выявлены 17 расширений для Firefox, которые использовали стеганографию для сокрытия вредоносного jаvascript-кода в PNG-файлах логотипjd. Зараженные аддоны установили более 50 000 пользователей. Эта малварь загружала сильно обфусцированную полезную нагрузку с внешнего ресурса. Та следила за действиями пользователя, подменяла партнерские ссылки на крупных торговых площадках и внедряла невидимые iframe для рекламного мошенничества и накрутки кликов. Новый отчет экспертов из компании LayerX показывает, что эта вредоносная кампания продолжается, хотя специалисты Koi Security предали происходящее огласке. Теперь исследователи выявили еще 17 вредоносных расширений: Google Translate in Right Click — 522 398 установок; Translate Selected Text with Google — 159 645 установок; Ads Block Ultimate — 48 078 установок; Floating Player – PiP Mode — 40 824 установки; Convert Everything — 17 171 установка; Youtube Download — 11 458 установок; One Key Translate — 10 785 установок; AdBlocker — 10 155 установок; Save Image to Pinterest on Right Click — 6517 установок; Instagram* Downloader — 3807 установок; RSS Feed — 2781 установка; Cool Cursor — 2254 установки; Full Page Screenshot — 2000 установок; Amazon Price History — 1197 установок; Color Enhancer — 712 установок; Translate Selected Text with Right Click — 283 установки; Page Screenshot Clipper — 86 установок. По данным исследователей, кампания началась с Microsoft Edge, а затем распространилась на Firefox и Chrome. При этом часть опасных расширений присутствовала в официальных магазинах еще с 2020 года. В целом методы обхода защиты и возможности малвари после успешной атаки остаются прежними, как ранее описывали специалисты Koi Security. Однако в LayerX заметили более продвинутый вариант вредоноса в расширении Instagram Downloader. В этом случае логика подготовки вредоносного кода была перенесена в фоновый скрипт расширения, а в качестве контейнера для скрытой полезной нагрузки использовался встроенный файл изображения, а не только логотип. Во время работы фоновый скрипт сканирует байты изображения в поисках специального разделителя (

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.