MADRID 19 jan. (Portaltic/EP) -
As extensões maliciosas do GhostPoster foram encontradas em 840.000 instalações no Firefox, Chrome e Edge, de onde realizam uma atividade em segundo plano para monitorar suas vítimas. O GhostPoster é uma campanha que utiliza extensões maliciosas para monitorar a atividade de suas vítimas e instalar um backdoor em seus computadores. Para isso, ela usa código JavaScript que se esconde de forma eficaz na imagem PNG do logotipo da extensão por meio da técnica de esteganografia. Em dezembro, os analistas da empresa de segurança KOI identificaram 17 aplicativos maliciosos para o Mozilla Firefox, que ofereciam serviços populares como tradução, bloqueadores de anúncios ou VPN, e que acumularam mais de 50.000 downloads.
Seguindo essa investigação, a empresa LayerX identificou outro conjunto de 17 extensões maliciosas relacionadas ao GhostPoster, distribuídas desta vez nas lojas do Microsoft Edge e do Google Chrome, acumulando mais de 840.000 instalações nos três navegadores.
Dentro desta campanha do GhostPoster, os investigadores da LayerX também citam uma variante “mais sofisticada e evasiva”, que por si só acumula mais de 3.800 instalações.
Por trás do GhostPoster está um agente malicioso chamado Darkspectre, que se dedicou nos últimos anos a distribuir malware em extensões para navegadores da web. E ele também fez isso por meio do ShadyPanda e do The Zoom Stealer que, apesar de cada um ter suas próprias técnicas e objetivos, compartilhavam infraestrutura com o GhostPoster.
De acordo com a LayerX, algumas extensões estão presentes nas lojas oficiais dos navegadores desde 2020, uma descoberta em linha com o que a KOI já apontou sobre o Darkspectre: que as campanhas desse agente de ameaças, classificadas como “as maiores e mais sofisticadas”, foram desenvolvidas em operações que duraram anos.
Esta notícia foi traduzida por um tradutor automático