- LayerX encontra 17 extensões maliciosas de navegador com mais de 840.000 downloads
- Extensões sequestraram links afiliados, injetaram rastreamento e permitiram fraude publicitária
- Todas as extensões foram removidas, mas os usuários devem desinstalá-las manualmente
Os pesquisadores de segurança da LayerX descobriram 17 extensões para os navegadores Chrome, Firefox e Edge que monitoram a atividade das pessoas na Internet e instalam backdoors para acesso persistente. No total, as extensões foram baixadas mais de 840 mil vezes.
Esta não é uma campanha nova. Na verdade, LayerX afirma que é uma continuação do GhostPoster, uma campanha descoberta pela Koi Security em meados de dezembro de 2025.
Os pesquisadores então encontraram um conjunto de 17 extensões diferentes, baixadas cumulativamente 50 mil vezes, que faziam a mesma coisa: monitorar o comportamento e instalar backdoors.
Pôster Fantasma
Aqui está a lista completa de todas as extensões encontradas:
Google Tradutor com o botão direito
Traduza o texto selecionado com GoogleAds Block Ultimate
Player flutuante – modo PiP
Converta tudo
Baixar Youtube
Tradução de uma chave
Bloqueador de anúncios
Salvar imagem no Pinterest clique com o botão direito
Baixador do Instagram
Feed RSS
Cursor legal
Captura de tela de página inteira
Histórico de preços da Amazon
Intensificador de cor
Traduza o texto selecionado com o botão direito
Captura de tela da página Clipper
Este novo lote inclui algumas das primeiras extensões carregadas em 2020, o que significa que as pessoas foram expostas a malware em repositórios oficiais de navegadores durante anos. A loja do Edge parece ser onde apareceu a maioria dessas extensões, expandindo-se posteriormente também para o Chrome e o Firefox.
Algumas extensões armazenam código JavaScript malicioso no logotipo PNG. O código serve como uma instrução para baixar a carga principal de um servidor remoto. Para dificultar a detecção e a atribuição, os invasores fizeram com que as extensões baixassem a carga principal em 10% das vezes.
A carga principal pode fazer todo tipo de coisa. Primeiro, ele sequestra links afiliados dos principais sites de comércio eletrônico – roubando dinheiro diretamente dos criadores de conteúdo.
Em seguida, inclui o rastreamento do Google Analytics em cada página que o usuário visita e remove cabeçalhos de segurança de todas as respostas HTTP.
Finalmente, ele pode ignorar o CAPTCHA usando três mecanismos separados e injetar iframes invisíveis, que são usados principalmente para fraude publicitária, fraude de cliques e rastreamento. Esses iframes se autodestroem após aproximadamente 15 segundos.
Entretanto, todas as extensões foram removidas dos seus respetivos repositórios, mas os utilizadores ainda são aconselhados a removê-las dos seus navegadores.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
