En résumé:
- PCWorld rapporte que plus de 840 000 utilisateurs ont été infectés par 22 extensions de navigateur malveillantes contenant le malware GhostPoster caché dans les logos des extensions.
- Ces extensions dangereuses, notamment « Amazon Price History » et « AdBlock », fonctionnent sans être détectées dans les magasins officiels Mozilla et Microsoft depuis 2020.
- Les utilisateurs doivent désinstaller manuellement ces extensions immédiatement, car elles espionnent le comportement, redirigent vers des sites frauduleux et peuvent installer des logiciels malveillants supplémentaires.
Les chercheurs en sécurité mettent désormais en garde contre une campagne de malware ciblée impliquant des logiciels malveillants cachés dans certaines extensions de navigateur. La vague d’attaques, baptisée « GhostPoster », cible les utilisateurs de Chrome, Firefox et Edge. Il y a eu plus de 840 000 attaques depuis décembre.
Comment fonctionne l’attaque GhostPoster
La première analyse de GhostPoster vient des experts en sécurité de Koi Security. Ils ont découvert la campagne à la fin de l’année dernière et ont réalisé que le code malveillant n’était pas contenu dans l’extension elle-même, mais caché dans les données d’image du logo respectif.
Au lieu d’agir directement, l’extension est conçue pour espionner le comportement des utilisateurs après l’installation. Ensuite, un autre script caché derrière trois signes « = » est chargé via une porte dérobée dans le code du logo.
Une fois exécuté, ce script manipule les liens d’affiliation et redirige les utilisateurs vers des sites Web et des offres frauduleux, entre autres. Les attaquants sont également capables d’infecter les appareils concernés avec des logiciels malveillants en déverrouillant des droits de contrôle étendus et en en abusant à leurs propres fins.
Ce qui est particulièrement problématique est le fait que ces extensions de navigateur sont proposées dans les magasins officiels de Mozilla et Microsoft depuis 2020. Elles sont restées largement indétectées pendant plus de 5 ans et ont probablement pu infecter plus de 840 000 systèmes pendant cette période.
Ce que vous devez faire maintenant
Mozilla et Microsoft ont réagi rapidement et ont supprimé les extensions malveillantes de leurs magasins. Cependant, les utilisateurs qui les avaient déjà installés doit supprimer les extensions manuellementsinon ils resteront actifs et continueront à causer des dégâts.
Ces extensions malveillantes ont été identifiées jusqu’à présent :
- AdBlock
- Blocage des publicités ultime
- Historique des prix Amazon
- Rehausseur de couleur
- Convertissez tout
- Curseur cool
- Lecteur flottant – Mode PiP
- Téléchargeur MP3 gratuit
- VPN gratuit pour toujours
- Capture d’écran pleine page
- Google Translate en clic droit
- J’aime la météo
- Téléchargeur Instagram
- Une clé de traduction
- Coupe-capture d’écran de page
- Flux RSS
- Enregistrer l’image sur Pinterest avec un clic droit
- Traduire le texte sélectionné avec Google
- Traduire le texte sélectionné avec un clic droit
- Meilleures prévisions météorologiques
- VPN mondial
- Téléchargement YouTube
