В официальных магазинах расширений для браузеров Chrome, Firefox и Microsoft Edge обнаружена новая волна вредоносных аддонов, связанных с кампанией GhostPoster. По оценкам исследователей, 17 выявленных расширений суммарно были установлены более чем 840 000 раз, что делает инцидент одной из заметных кампаний по злоупотреблению доверием к браузерным магазинам за последние годы.
Как развивалась кампания GhostPoster: от Firefox к Chrome и Edge
О кампании GhostPoster впервые стало известно в декабре прошлого года благодаря исследованию компании Koi Security. Тогда специалисты выявили 17 вредоносных расширений для Firefox, использовавших стеганографию — метод скрытия данных внутри, казалось бы, безобидных файлов, например изображений. В том случае вредоносный JavaScript-код внедрялся в PNG-файлы логотипов расширений, а общее число установок превышало 50 000.
Новый отчет специалистов компании LayerX показывает, что кампания не только не прекратилась после публикации первого исследования, но и расширилась на другие экосистемы. По данным экспертов, изначально атака началась с расширений для Microsoft Edge, после чего злоумышленники перенесли те же подходы в официальные магазины Firefox Add-ons и Chrome Web Store. Часть обнаруженных расширений, по всей видимости, присутствовала в маркетплейсах еще с 2020 года, оставаясь незамеченной на протяжении длительного времени.
Техника атаки: стеганография и скрытая загрузка полезной нагрузки
Ключевая особенность GhostPoster — использование стеганографии для сокрытия вредоносной логики. Вредоносные расширения загружали с внешних серверов сильно обфусцированный JavaScript-код, который маскировался внутри изображений. Браузерный скрипт извлекал этот код, расшифровывал и выполнял его уже на стороне пользователя, обходя часть стандартных механизмов проверки расширений.
После успешной активации вредоносного фрагмента кода расширения выполняли несколько типов действий:
- отслеживали активность пользователя на посещаемых сайтах;
- подменяли партнерские ссылки на крупных торговых и сервисных платформах, перенаправляя комиссии к злоумышленникам;
- встраивали невидимые iframe для накрутки рекламы и искусственного увеличения количества кликов, что является классическим сценарием рекламного мошенничества (ad fraud).
Новый этап GhostPoster: продвинутая реализация в Instagram Downloader
Хотя общая схема атаки осталась похожей на описанную Koi Security, специалисты LayerX зафиксировали эволюцию техники на примере вредоносного расширения Instagram Downloader*. В этой версии логика подготовки вредоносного кода была перенесена в фоновый скрипт, а контейнером для полезной нагрузки стало уже не только изображение-логотип, но и встроенный файл изображения внутри самого расширения.
Фоновый скрипт выполнял поэтапный процесс:
- сканировал байтовый поток изображения в поисках специального маркера-разделителя (например, последовательности >>>>);
- извлекал и сохранял скрытые данные во внутреннем локальном хранилище расширения;
- декодировал полученную строку из Base64 и выполнял ее как JavaScript-код.
В LayerX отмечают, что подобная многоэтапная схема выполнения демонстрирует заметный сдвиг в сторону модульности, увеличения «периода бездействия» вредоноса и повышения устойчивости к статическим (анализ кода) и поведенческим (анализ активности) механизмам детектирования.
Масштаб ущерба и реакция поставщиков браузеров
По данным исследователей, суммарное число установок вредоносных расширений GhostPoster в Chrome, Firefox и Edge достигло 840 000. Для киберпреступников такой охват означает устойчивый поток доходов от подмены партнерских ссылок и рекламного мошенничества, а также доступ к поведеническим данным пользователей, которые могут использоваться и в дальнейшем.
После публикации результатов расследования все выявленные вредоносные расширения были удалены из официальных магазинов Mozilla, Microsoft и Google. Однако опыт подобных кампаний показывает, что злоумышленники часто возвращаются с новыми версиями аддонов под другими названиями и аккаунтами разработчиков.
Что могут сделать пользователи и компании для защиты
Инцидент с GhostPoster еще раз подчеркивает, что официальный магазин расширений не гарантирует абсолютную безопасность. Для снижения рисков пользователям и организациям стоит придерживаться следующих рекомендаций:
- устанавливать расширения только от хорошо известных и проверенных разработчиков;
- внимательно изучать запрашиваемые разрешения (доступ к истории просмотров, к данным на всех сайтах и т.п.);
- регулярно проводить ревизию установленных расширений и удалять ненужные или подозрительные;
- использовать современные средства защиты конечных точек (EDR/NGAV), способные анализировать аномальное поведение браузера;
- в корпоративной среде применять политики, ограничивающие установку расширений только утвержденным списком (allowlist).
Кампании вроде GhostPoster демонстрируют, насколько изобретательны становятся атакующие в попытках обойти механизмы модерации и защиты пользователей в браузерных экосистемах. Чем активнее интернет-пользователи опираются на расширения для удобства и автоматизации задач, тем более привлекательным вектором атаки они становятся для киберпреступников. Внимательное отношение к выбору расширений, регулярный контроль безопасности и использование многоуровневой защиты — ключевые шаги, позволяющие существенно снизить вероятность компрометации.
