Кампанія GhostPoster продемонструвала, наскільки небезпечними можуть бути навіть на перший погляд корисні та легальні розширення браузера. Дослідники виявили щонайменше 17 шкідливих аддонів у Chrome Web Store, Firefox Add-ons та магазині розширень Microsoft Edge, які загалом було встановлено понад 840 000 разів. Це робить інцидент однією з наймасштабніших за останні роки кампаній зі зловживання довірою до офіційних магазинів.
Як розвивалася кампанія GhostPoster в екосистемах Chrome, Firefox і Edge
Про GhostPoster вперше повідомила компанія Koi Security у грудні попереднього року, коли було виявлено 17 шкідливих розширень для Firefox із понад 50 000 інсталяцій. Вони використовували стеганографію — прийом приховування даних всередині, здавалося б, безпечних файлів, таких як зображення. У код PNG-логотипів розширень вбудовувався шкідливий JavaScript, який залишався непомітним для базового автоматизованого аналізу.
Новий звіт компанії LayerX показав, що кампанія не лише не припинилася, а й еволюціонувала. За їхніми даними, атака спочатку стартувала з розширень для Microsoft Edge, а згодом ті самі підходи були перенесені до Firefox Add-ons та Chrome Web Store. Частина шкідливих розширень, імовірно, була доступна у маркетплейсах ще з 2020 року, залишаючись непоміченою протягом тривалого часу.
Техніка атаки GhostPoster: стеганографія, обфускація та приховане завантаження коду
Стеганографія в браузерних розширеннях
Ключова особливість GhostPoster — використання стеганографії для приховування шкідливої логіки. Розширення завантажували з віддалених серверів сильно обфускований JavaScript-код, захований у графічних файлах. Спеціальний скрипт у розширенні витягував із зображення приховані байти, розшифровував їх та виконував уже на пристрої користувача, частково обходячи стандартні механізми модерації браузерних магазинів.
Функціональність шкідливих розширень
Після активації прихованого коду шкідливі розширення виконували низку дій, орієнтованих переважно на монетизацію та збір даних:
- відстежували активність користувача на відвідуваних веб-сайтах та патерни поведінки;
- підміняли партнерські (affiliate) посилання на популярних торгових та сервісних платформах, перенаправляючи комісійні винагороди до операторів кампанії;
- вбудовували невидимі iframe для накрутки показів та кліків по рекламі, реалізуючи класичні схеми рекламного шахрайства (ad fraud).
Еволюція GhostPoster: шкідливий Instagram Downloader і модульна архітектура
Експерти LayerX зафіксували суттєве ускладнення техніки на прикладі шкідливого розширення Instagram Downloader*. На відміну від ранніх варіантів, логіку підготовки шкідливого коду було винесено до фонового скрипта, а носієм корисного навантаження стало не лише зображення-логотип, а й вбудований графічний файл у самому пакеті розширення.
Фоновий скрипт реалізовував поетапну обробку:
- сканував байтовий потік зображення у пошуках спеціального роздільника (наприклад, послідовності >>>>);
- виділяв приховані дані та зберігав їх у локальному сховищі розширення;
- декодував отриманий фрагмент із Base64 і виконував його як JavaScript-код у контексті браузера.
Такий багатоступеневий, модульний підхід збільшує час «сплячого» стану шкідливого коду та ускладнює виявлення як статичним аналізом (розбір коду розширення), так і поведінковими системами (моніторинг активності браузера). Це типовий тренд сучасних загроз: розробники шкідливого ПЗ інвестують у обхід автоматизованих систем модерації та механізмів захисту кінцевих точок.
Масштаб ризиків і реакція вендорів браузерів
Сукупна кількість інсталяцій шкідливих розширень GhostPoster у Chrome, Firefox і Edge сягнула понад 840 000. Для зловмисників це означає стабільний потік доходів від підміни партнерських програм та рекламного шахрайства, а також доступ до детальних поведінкових даних користувачів, які можуть бути використані для подальших кампаній.
Після оприлюднення результатів розслідувань всі виявлені шкідливі розширення були видалені з офіційних магазинів Mozilla, Microsoft і Google. Водночас досвід подібних інцидентів показує, що оператори таких кампаній часто повертаються з новими аддонами, змінюючи назви, описи та облікові записи розробників, аби знову пройти модерацію.
Як захиститися від шкідливих розширень браузера GhostPoster-подібного типу
Інцидент із GhostPoster наочно доводить, що офіційний магазин розширень не гарантує абсолютної безпеки. Користувачам та організаціям варто впроваджувати багаторівневий підхід до захисту:
- встановлювати розширення лише від відомих і перевірених розробників, критично оцінюючи рейтинг та відгуки;
- уважно перевіряти запитувані дозволи (доступ до історії переглядів, даних на всіх сайтах тощо) та відмовлятися від надмірних прав;
- регулярно проводити ревізію встановлених розширень і видаляти зайві або підозрілі;
- використовувати сучасні рішення для захисту кінцевих точок (EDR/NGAV), здатні виявляти аномалії в поведінці браузера;
- у корпоративному середовищі застосовувати політики з allowlist — дозволяти встановлення лише попередньо затверджених розширень.
Кампанія GhostPoster показує, що браузерні розширення залишаються привабливим та недооціненим вектором атаки. Чим сильніше бізнес і користувачі покладаються на аддони для автоматизації та зручності, тим частіше вони стають мішенню для кіберзлочинців. Регулярний контроль встановлених розширень, обмеження прав доступу, використання професійних засобів захисту та базова обережність при встановленні нових інструментів суттєво знижують імовірність компрометації.
