Gelombang ekstensi browser berbahaya lainnya yang mampu melacak aktivitas pengguna dan membahayakan privasi telah ditemukan di Chrome, Firefox, dan Edge, beberapa di antaranya dapat tetap aktif hingga lima tahun.
Kampanye tersebut dikenal dengan nama Ghostposter Diidentifikasi oleh Keamanan Koi pada bulan Desember dan mencakup 17 add-on Firefox yang dirancang untuk memantau aktivitas penelusuran pengguna. Para penyerang memasukkan kode JavaScript berbahaya ke dalam logo PNG ekstensi, yang bertindak sebagai pemuat malware untuk mengambil muatan utama dari server jarak jauh. Peneliti di LayerX Ditemukan 17 ekstensi berbahaya lainnya Di beberapa browser yang telah diinstal secara kolektif lebih dari 840.000 kali.
Kampanye malware GhostPoster yang sedang berlangsung
Menurut laporan LayerX, Ghostposter awalnya menargetkan Microsoft Edge dan kemudian diperluas ke Chrome dan Firefox. Add-on berbahaya mungkin aktif pada awal tahun 2020 dan mencakup hal berikut:
Klik kanan Google Terjemahan
Terjemahkan teks yang dipilih dengan Google
Blok Iklan Ultimate
Pemain Mengambang – mode PIP
Konversikan segalanya
Unduh YouTube
Terjemahan satu kunci
Pemblokir iklan
Klik kanan untuk menyimpan gambar ke Pinterest
Pengunduh Instagram
Umpan RSS
Kursor keren
Tangkapan layar halaman penuh
Sejarah Harga Amazon
Penambah warna
Terjemahkan teks yang dipilih dengan mengklik kanan
Pemotong tangkapan layar halaman
“Google Terjemahan dalam Klik Kanan” saja memiliki 522.398 pemasangan. Add-on terpopuler berikutnya adalah “Terjemahkan teks yang dipilih dengan Google” dengan 159.645 pemasangan. Peneliti menemukan bentuk kampanye yang lebih canggih di “Instagram Downloader”, yang memiliki 3.822 pemasangan.
Apa pendapat Anda sejauh ini?
GhostPoster memiliki perlindungan bawaan untuk mencegah deteksi malware—misalnya, aktivasi tertunda selama 48 jam dan hanya berkomunikasi dengan server penyerang jarak jauh dalam kondisi tertentu. Namun, setelah diinstal, ekstensi bagian GhostPoster memiliki kemampuan untuk membajak lalu lintas afiliasi (dan mengalihkan komisi penyerang), membajak dan menyuntikkan header HTTP untuk melemahkan keamanan, melewati captcha, dan menyuntikkan iframe dan skrip untuk penipuan klik dan pelacakan pengguna. Satu-satunya kabar baik adalah malware tersebut tidak mengumpulkan kredensial atau terlibat dalam phishing
Meskipun ekstensi berbahaya tidak lagi tersedia untuk ditambahkan ke Chrome, Edge, dan Firefox, pengguna yang memasangnya harus segera menghapusnya, karena ekstensi tersebut tetap aktif hingga dihapus secara eksplisit.