PCWorld报道称,超过84万用户被22款含有GhostPoster恶意软件的浏览器扩展程序感染,该恶意软件隐藏在扩展程序的图标中。
这些危险的扩展程序,包括“亚马逊价格历史”和“广告拦截器”,自2020年以来一直在官方的Mozilla和微软商店中未被察觉地运行。
用户必须立即手动卸载这些扩展程序,因为它们会监视用户行为,将用户重定向到欺诈网站,并且可以安装额外的恶意软件。
安全研究人员目前正警告一场有针对性的恶意软件活动,该活动涉及隐藏在特定浏览器扩展程序中的恶意软件。这波被称为“GhostPoster”的攻击针对Chrome、Firefox和Edge用户。自去年12月以来,已发生超过84万次攻击。
GhostPoster攻击的工作原理
对GhostPoster的首次分析来自Koi Security的安全专家。他们在去年年底发现了这次活动,并意识到恶意代码并非包含在扩展程序本身中,而是隐藏在相应图标的图像数据中。
该扩展程序并非直接行动,而是设计用于在安装后监视用户行为。随后,通过图标代码中的一个后门,加载另一个隐藏在三个“=”符号后面的脚本。
一旦执行,该脚本会操纵联盟链接,并将用户重定向到欺诈网站和优惠等。攻击者还能够通过解锁扩展控制权限并滥用这些权限,用恶意软件感染受影响的设备。
尤其成问题的是,这些浏览器扩展程序自2020年以来一直在官方的Mozilla和微软商店中提供。它们在超过5年的时间里基本上未被发现,在此期间可能已经感染了超过84万个系统。
你现在需要做什么
Mozilla和微软迅速做出反应,从其商店中移除了恶意扩展程序。然而,已经安装了这些扩展程序的用户必须手动移除它们,否则它们将保持活动状态并继续造成损害。
迄今为止已识别出的这些恶意扩展程序包括:
广告拦截器
终极广告拦截
亚马逊价格历史
颜色增强器
万能转换器
酷炫光标
浮动播放器——画中画模式
免费MP3下载器
永久免费VPN
全页截图
右键谷歌翻译
我喜欢天气
Instagram下载器
一键翻译
页面截图剪辑器
RSS订阅源
右键保存图片到Pinterest
用谷歌翻译选定文本
右键翻译选定文本
最佳天气预报
全球VPN
YouTube下载器
