ユーザー アクティビティを追跡し、プライバシーを侵害できる悪意のあるブラウザ拡張機能の新たな波が Chrome、Firefox、Edge で発見されており、その一部は最長 5 年間活動していた可能性があります。
GhostPoster として知られるこのキャンペーンは、Koi Security によって 12 月に特定され、ユーザーの閲覧活動を監視するために設計された 17 個の Firefox アドオンが含まれていました。攻撃者は、拡張機能の PNG ロゴに悪意のある JavaScript コードを埋め込み、リモート サーバーからメイン ペイロードを取得するマルウェア ローダーとして機能しました。 LayerX の研究者は、複数のブラウザにわたって合計 840,000 回以上インストールされているさらに 17 の悪意のある拡張機能を発見しました。
LayerX のレポートによると、GhostPoster は当初 Microsoft Edge をターゲットとしていたが、その後 Chrome と Firefox にも拡大されました。悪意のあるアドオンは 2020 年にはすでに活動していた可能性があり、次のものが含まれます。
右クリックでGoogle翻訳
選択したテキストを Google で翻訳する
究極の広告ブロック
フローティング プレーヤー – PiP モード
すべてを変換する
Youtubeのダウンロード
ワンキー翻訳
広告ブロッカー
右クリックで画像を Pinterest に保存
インスタグラムダウンローダー
RSSフィード
クールカーソル
全ページのスクリーンショット
アマゾンの価格履歴
カラーエンハンサー
選択したテキストを右クリックで翻訳
ページ スクリーンショット クリッパー
「右クリックで Google 翻訳」だけでも 522,398 回インストールされました。次に人気のアドオンは「Translate Selected Text with Google」で、インストール数は 159,645 でした。研究者らはまた、3,822 回インストールされた「Instagram Downloader」キャンペーンのより洗練された亜種を発見しました。
GhostPoster マルウェアには、検出を防ぐための安全装置が組み込まれています。たとえば、アクティブ化は 48 時間遅れ、特定の条件下でのみリモート攻撃サーバーと通信します。ただし、GhostPoster の一部である拡張機能は、一度インストールされると、アフィリエイト トラフィックをハイジャックし (攻撃者にコミッションをリダイレクトし)、HTTP ヘッダーを削除して挿入してセキュリティを弱め、CAPTCHA をバイパスし、クリック詐欺やユーザー追跡のための iframe とスクリプトを挿入する機能を持ちます。唯一の朗報は、このマルウェアが認証情報を収集したり、フィッシング行為を行ったりしないことです。
これらの悪意のある拡張機能は Chrome、Edge、Firefox に追加できなくなりましたが、これらの拡張機能は明示的に削除されるまでアクティブなままであるため、これらの拡張機能をインストールしているユーザーは直ちに削除する必要があります。