Resumo Rápido:
- Uma nova onda da campanha GhostPoster revelou 17 extensões maliciosas em navegadores populares, afetando mais de 840.000 usuários.
- O malware utiliza táticas sofisticadas, como código oculto em logos PNG e payload acionado em apenas 10% dos casos para evitar detecção.
- Indicado para qualquer usuário de Chrome, Firefox ou Edge que busca entender e se proteger de ameaças digitais persistentes e invisíveis.
Olá, pessoal da UzTech! Aqui é o Filipe Reis, e hoje vamos mergulhar em um tópico que pode estar comprometendo a sua segurança digital sem que você nem perceba: a campanha hacker conhecida como GhostPoster. Imagine só: extensões que você baixou para facilitar o dia a dia no navegador, na verdade, estão espionando cada passo seu e abrindo portas para cibercriminosos. Parece roteiro de filme, mas é a mais pura realidade.
Pesquisadores de segurança da LayerX acabam de fazer uma descoberta alarmante: mais 17 extensões maliciosas foram identificadas nos navegadores Chrome, Firefox e Edge. Juntas, essas extensões somam mais de 840.000 downloads, adicionando-se a uma lista já existente de ameaças da mesma campanha, que foi inicialmente desvendada pela Koi Security em dezembro. Isso significa que, por anos, muitos usuários estiveram expostos sem saber.
O que é a campanha GhostPoster e como ela age?
A campanha GhostPoster não é exatamente uma novidade. Ela já é conhecida no cenário da cibersegurança e tem se mostrado bastante persistente. O objetivo principal desses ataques é monitorar a atividade dos usuários e, o que é ainda mais grave, instalar “backdoors” nos computadores das vítimas. Um backdoor é, literalmente, uma “porta dos fundos” digital, um acesso secreto que permite aos atacantes entrar e sair do seu sistema quando bem entenderem, sem serem detectados.
Em uma onda anterior da campanha, outras 17 extensões maliciosas já haviam sido identificadas, acumulando cerca de 50.000 downloads. Isso mostra que os criminosos por trás do GhostPoster estão sempre inovando e buscando novas formas de enganar os usuários e as próprias lojas de extensões.
A sofisticação por trás do ataque
O que torna o GhostPoster particularmente perigoso é a sua engenhosidade. Esqueça os ataques óbvios; aqui, a sutileza é a chave. Os pesquisadores descobriram que o código malicioso, escrito em JavaScript, era escondido de maneiras inusitadas. Em alguns casos, ele ficava camuflado na própria logo PNG do add-on! É como esconder um bilhete secreto no desenho de um mascote. Esse código, uma vez ativado, dava as instruções para o computador da vítima baixar o “payload” principal – que é a carga útil, o software malicioso em si – de um servidor remoto.
E para dificultar ainda mais a detecção por profissionais de segurança e até mesmo pelos sistemas de verificação das lojas de navegadores, os atacantes implementaram uma tática de evasão astuta: o payload malicioso era baixado e ativado em apenas 10% das vezes. Isso significa que a cada dez instalações, nove poderiam parecer inofensivas, permitindo que as extensões passassem despercebidas por muito tempo e poupando alguns usuários, mas mantendo a ameaça ativa para outros.
As capacidades do malware: roubo e espionagem
Uma vez instalado, o malware GhostPoster não fica parado. Ele tem uma série de capacidades que visam monetizar a infecção e coletar dados:
- Roubo de links de afiliados: Para quem trabalha com e-commerce ou criação de conteúdo, sabe o valor dos links de afiliados. O malware consegue roubar esses links, desviando comissões e lucros que seriam de criadores de conteúdo para os bolsos dos cibercriminosos.
- Injeção de monitoramento de Google Analytics: Em toda página visitada, o malware injeta códigos de monitoramento do Google Analytics. Isso permite que os atacantes coletem informações detalhadas sobre os hábitos de navegação da vítima, quais sites ela visita, por quanto tempo, e por aí vai. É uma verdadeira espionagem digital em tempo real.
- Remoção de headers de segurança HTTP: Os “headers de segurança” são como selos de proteção que os sites enviam para o seu navegador, garantindo que a comunicação seja segura. Ao remover esses headers de todas as respostas HTTP, o malware enfraquece a segurança da navegação, tornando o usuário mais vulnerável a outros tipos de ataques ou interceptações de dados.
As extensões comprometidas: uma lista para ficar de olho
A LayerX divulgou a lista das 17 novas extensões maliciosas encontradas. É crucial que você verifique se alguma delas está instalada no seu navegador. Algumas dessas extensões foram adicionadas às Web Stores ainda em 2020, expondo milhões de usuários a malwares por anos a fio. Curiosamente, a maioria delas surgiu primeiro na loja do Edge, para depois se expandir para Chrome e Firefox.
| Extensão Maliciosa | Downloads (aproximado) |
|---|---|
| Google Translate in Right Click | 522.398 |
| Translate Selected Text with Google | 159.645 |
| Ads Block Ultimate | 48.078 |
| Floating Player – PiP Mode | 40.824 |
| Convert Everything | 17.171 |
| Youtube Download | 11.458 |
| One Key Translate | 10.785 |
| AdBlocker | 10.155 |
| Save Image to Pinterest on Right Click | 6.517 |
| Instagram Downloader | 3.807 |
| RSS Feed | 2.781 |
| Cool Cursor | 2.254 |
| Full Page Screenshot | 2.000 |
| Amazon Price History | 1.197 |
| Color Enhancer | 712 |
| Translate Selected Text with Right Click | 283 |
| Page Screenshot Clipper | 86 |
Se você identificou alguma dessas extensões no seu navegador, a boa notícia é que elas já foram removidas dos repositórios oficiais do Edge e do Firefox. No entanto, a remoção da loja não significa que elas sumiram do seu computador. É altamente recomendado que você as remova manualmente e, em seguida, apague qualquer cache guardado para garantir que nenhum resquício do malware permaneça ativo.
Concluindo…
A campanha GhostPoster é um lembrete vívido de que a segurança digital exige vigilância constante. Extensões de navegador, embora úteis, podem ser um vetor perigoso para ataques se não forem cuidadosamente escolhidas. A sofisticação do malware, escondido em logos e ativado seletivamente, mostra que os cibercriminosos estão sempre um passo à frente. Ao remover essas extensões e adotar uma postura mais cautelosa com o que você instala, você dá um passo gigante para proteger sua privacidade e seus dados. Fique ligado e mantenha-se seguro!
O que você achou deste conteúdo? Compartilhe sua opinião nos comentários!
FAQ
O que é a campanha hacker GhostPoster?
A GhostPoster é uma campanha de ciberataque que utiliza extensões maliciosas para navegadores (Chrome, Firefox, Edge) com o objetivo de monitorar a atividade dos usuários, instalar backdoors e roubar informações, como links de afiliados e dados de navegação.
Como o malware GhostPoster se esconde?
O GhostPoster utiliza técnicas sofisticadas, como esconder seu código JavaScript malicioso em arquivos de imagem (como logos PNG de extensões) e ativar o payload principal em apenas 10% das instalações para evitar a detecção por sistemas de segurança e usuários.
Quais navegadores são afetados pela GhostPoster?
As extensões maliciosas da campanha GhostPoster foram encontradas e afetaram usuários dos navegadores Google Chrome, Mozilla Firefox e Microsoft Edge. Muitas delas apareceram primeiro no Edge antes de se espalharem para os outros.
Como posso saber se fui afetado pela GhostPoster e o que devo fazer?
Verifique a lista de extensões maliciosas divulgada (presente neste artigo) e veja se alguma delas está instalada no seu navegador. Caso positivo, remova-a imediatamente do seu navegador e, em seguida, limpe o cache e os dados de navegação para eliminar qualquer resquício do malware.
Vale a pena usar extensões de navegador?
Sim, extensões podem ser muito úteis para aumentar a produtividade e a funcionalidade do navegador. No entanto, é crucial baixá-las apenas de fontes confiáveis, verificar as permissões que elas solicitam e ler avaliações de outros usuários para garantir que são seguras e legítimas.
