){kind=small}
){kind=logo}
Pesquisadores de segurança identificaram uma nova campanha de extensões maliciosas para o Firefox que escondiam malware dentro dos próprios ícones. A descoberta foi detalhada pela Koi Security e mostra como imagens aparentemente inofensivas foram usadas como vetor para distribuir código malicioso.
Batizada de GhostPoster, a campanha envolvia ao menos 17 extensões diferentes, que somaram mais de 50 mil instalações no navegador da Mozilla. Segundo os pesquisadores, os complementos se passavam por ferramentas legítimas, como VPNs, tradutores e extensões de produtividade.
Nossos vídeos em destaque
Um dos exemplos analisados foi a extensão Free VPN Forever, publicada em setembro deste ano e instalada cerca de 16 mil vezes. À primeira vista, o complemento funcionava normalmente, mas escondia um comportamento sofisticado em segundo plano.
De acordo com a Koi Security, a extensão carregava seu ícone de forma legítima e, em seguida, varria os bytes brutos da imagem em busca de um marcador específico. Dentro do arquivo estavam instruções de um loader, responsável por se conectar a um servidor de comando e controle (C2) para baixar uma carga criptografada.
Após o download, o loader descriptografava o conteúdo e revelava um conjunto de ferramentas voltadas ao monitoramento da atividade do navegador. Em seguida, o malware era novamente criptografado e implantado para garantir persistência, dificultando a detecção.
Para driblar sistemas de segurança, o código malicioso só era ativado cerca de seis dias após a instalação da extensão. Quando em funcionamento, ele monitorava acessos a sites de comércio eletrônico e interceptava cliques em links afiliados, substituindo-os por versões próprias para desviar comissões.
Além disso, o malware injetava scripts do Google Analytics para acompanhar a navegação do usuário, listava outras extensões instaladas no navegador e inseria elementos em sites específicos com o objetivo de perfilar usuários sem consentimento.
Quais extensões fazem parte da campanha GhostPoster?
Segundo a Koi Security, as extensões maliciosas identificadas são:
- Free VPN
- Screenshot
- Weather (weather-best-forecast)
- Mouse Gesture (crxMouse)
- Cache - Fast site loader
- Free MP3 Downloader
- Google Translate (google-translate-right-clicks)
- Traductor de Google
- Global VPN - Free Forever
- Dark Reader Dark Mode
- Translator - Google Bing Baidu DeepL
- Weather (i-like-weather)
- Google Translate (google-translate-pro-extension)
- 谷歌翻译
- libretv-watch-free-videos
- Ad Stop - Best Ad Blocker
- Google Translate (right-click-google-translate)
Como evitar?
O caso reforça que até extensões de navegador podem esconder malware, inclusive em elementos inesperados como ícones. Para reduzir riscos, bons hábitos online incluem
- Baixar extensões apenas de desenvolvedores reconhecidos e confiáveis;
- Desconfiar de complementos que oferecem gratuitamente serviços normalmente pagos;
- Ficar atento a comportamentos suspeitos, mesmo dias após a instalação ou atualização de extensões.
Para continuar informado sobre golpes digitais, ameaças virtuais e dicas de segurança, acompanhe o TecMundo nas redes sociais e não perca nossas próximas análises.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
