北京
研究人員在 Chrome、Firefox 和 Edge 應(yīng)用商店中又發(fā)現(xiàn)了17款與GhostPoster攻擊活動相關(guān)的惡意擴展,這些擴展的累計安裝量已高達84萬次。
GhostPoster 活動最早由Koi Security的研究人員在2025年12月披露。當時他們發(fā)現(xiàn)了17款擴展,這些擴展將惡意 JavaScript 代碼隱藏在其 Logo 圖片中,用于監(jiān)控瀏覽器活動并植入后門。
該惡意代碼會從外部資源獲取經(jīng)過高度混淆的載荷(Payload),進而追蹤受害者的瀏覽活動、劫持主流電商平臺的聯(lián)盟營銷鏈接,并注入不可見的 iframe 以實施廣告欺詐和點擊欺詐。
LayerX的一份新報告指出,盡管該活動已被曝光,但仍在持續(xù)進行,以下 17 款擴展均為其最新成員:
·Google Translate in Right Click – 522,398 次安裝
·Translate Selected Text with Google - 159,645 次安裝
·Ads Block Ultimate – 48,078 次安裝
·Floating Player – PiP Mode – 40,824 次安裝
·Convert Everything – 17,171 次安裝
·Youtube Download – 11,458 次安裝
·One Key Translate – 10,785 次安裝
·AdBlocker – 10,155 次安裝
·Save Image to Pinterest on Right Click – 6,517 次安裝
·Instagram Downloader – 3,807 次安裝
·RSS Feed – 2,781 次安裝
·Cool Cursor – 2,254 次安裝
·Full Page Screenshot – 2,000 次安裝
·Amazon Price History – 1,197 次安裝
·Color Enhancer – 712 次安裝
·Translate Selected Text with Right Click – 283 次安裝
·Page Screenshot Clipper – 86 次安裝
研究人員稱,該活動最初起源于 Microsoft Edge 應(yīng)用商店,隨后擴展至 Firefox 和 Chrome。
LayerX 發(fā)現(xiàn),上述部分擴展自 2020 年起就已存在于瀏覽器插件商店中,這表明這是一場成功的長期潛伏行動。
擴展上傳時間軸
雖然其規(guī)避檢測和激活后的功能與 Koi 之前記錄的大致相同,但 LayerX 在“Instagram Downloader”擴展中發(fā)現(xiàn)了一個更高級的變種。
該變種的不同之處在于,它將惡意的“預(yù)加載邏輯”轉(zhuǎn)移到了擴展的后臺腳本中,并將捆綁的圖像文件不僅用作圖標,還作為隱蔽的載荷容器。
解碼圖像文件的有效載荷
在運行時,后臺腳本會掃描圖像的原始字節(jié)以尋找特定的分隔符(>>>>),提取隱藏數(shù)據(jù)并存儲在本地擴展存儲中,隨后將其 Base64 解碼并作為 JavaScript 執(zhí)行。
這種分階段的執(zhí)行流程表明,該惡意軟件正朝著更長的潛伏期、模塊化以及更強的抗靜態(tài)和行為檢測能力方向進化。
新發(fā)現(xiàn)的這些擴展目前已從 Mozilla 和 Microsoft 的插件商店中下架。然而,此前已在瀏覽器中安裝了這些擴展的用戶可能仍面臨風險。
參考及來源:https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
