Opasan “GhostPoster” virus u Chromeu: zlonamjerne ekstenzije napale korisnike – odmah provjerite imate li ove dodatke

· Sanja Ledinek

OpasanGhostPoster virus u Chromeu

Sigurnosni stručnjaci upozoravaju na novu kampanju zlonamjernog softvera koja cilja korisnike popularnih web preglednika. Napad, poznat pod nazivom GhostPoster, iskorištava proširenja preglednika i već je pogodio više od 84 korisnička sustava.

Prema istraživanju sigurnosne tvrtke Koi Security, zlonamjerne ekstenzije pojavile su se u službenim trgovinama preglednika još 2020. godine te su ondje ostale skrivenе gotovo pet godina prije nego što su otkrivene. Napadi su usmjereni na korisnike preglednika poput Google Chrome, Mozilla Firefox i Microsoft Edge.

Zlonamjerni kod skriven u ikonama ekstenzija

Ono što ovaj napad čini posebno opasnim jest vrlo neobična tehnika skrivanja zlonamjernog koda. Umjesto da se maliciozne skripte nalaze izravno u kodu ekstenzije, napadači su ih sakrili unutar slikovnih datoteka koje služe kao ikone dodataka. Na taj su način ekstenzije uspjele proći početne sigurnosne provjere službenih trgovina preglednika. Nakon instalacije dodatak ne pokreće napad odmah. Prvo prati korisnikovo ponašanje tijekom surfanja, a zatim aktivira skripte skrivene u slici. Kod se učitava preko skrivenih oznaka u datoteci slike i potom pokreće niz zlonamjernih radnji.

Preusmjeravanje na lažne stranice i krađa podataka

Jednom kada se aktivira, skripta može manipulirati affiliate poveznicama, preusmjeravati korisnike na lažne web stranice,
prikazivati lažne promocije i oglase i instalirati dodatni zlonamjerni softver. U nekim slučajevima napadači mogu dobiti dugotrajni pristup uređaju, što predstavlja ozbiljan sigurnosni rizik za korisničke podatke i privatnost.

Zlonamjerne ekstenzije bile su dostupne godinama

Najveći problem u ovom slučaju jest činjenica da su zaražene ekstenzije bile dostupne u službenim trgovinama preglednika više od pet godina. Iako su Mozilla i Microsoft nakon otkrića uklonili sporne dodatke iz svojih trgovina, to ne znači da je problem u potpunosti riješen. Ako je korisnik već instalirao neku od tih ekstenzija, ona se ne uklanja automatski i može nastaviti raditi u pozadini. Zbog toga stručnjaci savjetuju korisnicima da ručno provjere instalirane dodatke i uklone sumnjive ekstenzije.

Ekstenzije koje treba odmah provjeriti

Sigurnosni istraživači identificirali su više dodataka koji su povezani s ovom kampanjom. Među njima su ekstenzije za blokiranje oglasa, preuzimanje videa i prijevod teksta. Korisnici bi trebali provjeriti imaju li instalirane sljedeće dodatke:

Alati za blokiranje oglasa i web funkcije, Ads Block Ultimate,Full Page Screen, Page Screen Clipper i Cool Cursor.

Alati za preuzimanje videa

  • Floating Player – PiP Mode
  • Free MP3 Downloader
  • Instagram Downloader
  • YouTube Download

Alati za prijevod

  • One Key Translate
  • Translate Selected Text with Google
  • Translate Selected Text with Right Click
  • Convert Everything

Ostali alati

  • I Like Weather
  • Weather Best Forecast
  • World Wide VPN

Ako se neka od ovih ekstenzija nalazi u vašem pregledniku, preporučuje se odmah je ukloniti i zatim ponovno pokrenuti preglednik.

Kako se zaštititi

Kako bi smanjili rizik od sličnih napada u budućnosti, sigurnosni stručnjaci preporučuju instaliranje samo nužnih ekstenzija, redovitu provjeru instaliranih dodataka, čitanje recenzija i provjeru izdavača ekstenzije i redovito ažuriranje preglednika. Iako su proširenja preglednika često vrlo korisna, ovaj slučaj pokazuje da čak i dodaci iz službenih trgovina mogu predstavljati potencijalnu sigurnosnu prijetnju.

DRUGE NOVOSTI