Pesquisa recente identificou 17 extensões maliciosas distribuídas em lojas oficiais de navegadores que, somadas, ultrapassam 840 mil instalações. A campanha — batizada GhostPoster — permaneceu ativa por anos explorando técnicas de ocultação para driblar análises estáticas e controles das plataformas.
Resumo técnico da campanha
Analistas da LayerX Security traçaram a infraestrutura por trás do GhostPoster depois que Koi Security detectou uma variante no Firefox. As extensões eram publicadas com nomes aparentemente legítimos, como “Google Translate in Right Click”, “Youtube Download” e “Ads Block Ultimate”.
Vetor de ataque e técnicas de ocultação
- Steganografia em PNG: o código malicioso era escondido dentro de arquivos PNG; o payload era decodificado em tempo de execução.
- Execução retardada: variantes aguardavam 48 horas ou mais (em alguns casos até cinco dias) antes de ativarem conexões remotas, evitando detecções iniciais durante análises automáticas da loja.
- Arquitetura modular: após decodificar o payload, a extensão contactava servidores controlados pelos atacantes para baixar scripts adicionais e módulos específicos.
Impacto observado
As extensões realizavam múltiplas ações maliciosas: sequestro de links de afiliados para ganho financeiro, injeção de scripts para rastreamento e manipulação do comportamento de páginas, alteração de cabeçalhos HTTP para neutralizar proteções e roubo de credenciais e dados do usuário. O conjunto de técnicas e a persistência indicam operação planejada, não campanhas oportunistas.
Evidências e escopo
LayerX Security documentou a infraestrutura interconectada e contabilizou mais de 840.000 instalações combinadas entre Chrome, Firefox e Edge. As extensões passaram por revisões das lojas e, ainda assim, ficaram ativas por até cinco anos antes da remoção — o que evidencia fragilidades nos mecanismos de revisão e monitoramento das plataformas.
Recomendações para defensores
- Revisar políticas de whitelist/blacklist de extensões em ambientes corporativos e restringir a instalação por usuários finais sempre que possível.
- Aplicar controles de EDR e monitoramento de navegação que detectem comportamentos anômalos (exfiltração, injeção de scripts, redirecionamentos).
- Incluir análise dinâmica e análise de recursos (imagens, binários embarcados) nos pipelines de aprovação interna de extensões utilizadas em empresas.
- Educar usuários sobre riscos de instalar extensões de origem duvidosa, mesmo quando presentes nas lojas oficiais.
O que falta ser esclarecido
Os relatórios públicos não detalham listas completas de domínios de comando e controle nem indicadores de comprometimento (IOCs) em nível de host — informações que ajudariam equipes de resposta a identificar sessões comprometidas. Também não há publicação com uma contagem por loja (Chrome Web Store vs Firefox Add-ons vs Edge) discriminada no material resumido.
Conclusão
O caso GhostPoster demonstra a eficácia de técnicas de ocultação e execução retardada contra processos de revisão automatizados. Organizações devem assumir que extensões em ambientes corporativos representam risco e implementar bloqueios e monitoramento específicos.
Fonte: LayerX Security, investigação divulgada pela Cyber Security News.