Une autre vague d’extensions de navigateur malveillantes capables de suivre l’activité des utilisateurs et de compromettre la confidentialité a été découverte sur Chrome, Firefox et Edge, dont certaines peuvent être actives depuis cinq ans.
La campagne, connue sous le nom de GhostPoster, a été identifiée par Koi Security en décembre et comprenait 17 modules complémentaires Firefox conçus pour surveiller l’activité de navigation des utilisateurs. Les auteurs de la menace ont implanté du code JavaScript malveillant dans le logo PNG de l’extension, qui servait de chargeur de malware pour récupérer la charge utile principale d’un serveur distant. Les chercheurs de LayerX ont découvert 17 extensions malveillantes supplémentaires sur plusieurs navigateurs qui ont été collectivement installées plus de 840 000 fois.
Campagne de malware GhostPoster en cours
Selon le rapport de LayerX, GhostPoster ciblait initialement Microsoft Edge, puis s’est étendu à Chrome et Firefox. Les modules complémentaires malveillants peuvent avoir été actifs dès 2020 et inclure les éléments suivants :
-
Google Translate en clic droit
-
Traduire le texte sélectionné avec Google
-
Blocage des publicités ultime
-
Lecteur flottant – Mode PiP
-
Convertissez tout
-
Téléchargement YouTube
-
Une clé de traduction
-
Bloqueur de publicités
-
Enregistrer l’image sur Pinterest avec un clic droit
-
Téléchargeur Instagram
-
Flux RSS
-
Curseur cool
-
Capture d’écran pleine page
-
Historique des prix Amazon
-
Rehausseur de couleur
-
Traduire le texte sélectionné avec un clic droit
-
Coupe-capture d’écran de page
« Google Translate in Right Click » à lui seul a enregistré 522 398 installations. Le deuxième module complémentaire le plus populaire était « Traduire le texte sélectionné avec Google » avec 159 645 installations. Les chercheurs ont également découvert une variante plus sophistiquée de la campagne dans « Instagram Downloader », qui a été installée 3 822 fois.
Le malware GhostPoster dispose de protections intégrées pour empêcher la détection : par exemple, l’activation est retardée de 48 heures et il ne communique avec les serveurs d’attaque distants que sous certaines conditions. Cependant, une fois installées, les extensions qui font partie de GhostPoster ont la capacité de détourner le trafic des affiliés (et de rediriger les commissions vers les attaquants), de supprimer et d’injecter des en-têtes HTTP pour affaiblir la sécurité, de contourner le CAPTCHA et d’injecter des iframes et des scripts pour la fraude aux clics et le suivi des utilisateurs. La seule bonne nouvelle est que le malware ne récupère pas les informations d’identification et ne se lance pas dans le phishing.
Bien que les extensions malveillantes ne puissent plus être ajoutées dans Chrome, Edge et Firefox, les utilisateurs qui les ont installées doivent les supprimer immédiatement, car elles restent actives jusqu’à ce qu’elles soient explicitement supprimées.
