Die Geschichte wird mit einer anspruchsvolleren Variante wiederholt: Sicherheitsforscher haben einen neuen Satz von 17 Browser-Erweiterungen entdeckt, die mit der Kampagne GhostPoster verbunden sind, die insgesamt etwa 840.000 Einrichtungen angesammelt hat, bevor sie aus offiziellen Geschäften entfernt wurden. Das Schlagen ist nicht nur das Volumen, sondern die Technik, die von den Angreifern verwendet wird: ein schädlicher Code, der in Bildern und Dateien, die in den Erweiterungen selbst enthalten sind, getarnt wurde, mit einem phasengesteuerten Ausführungsablauf, der zur Vermeidung von statischen und verhaltensmäßigen Kontrollen entwickelt wurde.
Der erste Alarm wurde von Koi Security Analysten am Ende des letzten Jahres gegeben, als sie Erweiterungen beschrieben, die bösartige JavaScript in Icons versteckt. Dieser Code, einmal aktiviert, heruntergeladen Futil Gebühren von externen Ressourcen, überwachte die Navigationsaktivität, manipulierte Affiliate Links auf großen E-Commerce-Plattformen und montierte unsichtbare iframes, um Klick und Werbebetrug zu generieren. Wenn Sie die Arbeit dieses ersten Auffindens sehen möchten, können Sie mit der Koi-Sicherheitsseite beginnen. koi.security, wo sie Untersuchungen und Hinweise über böswillige Erweiterung Kampagnen veröffentlichen.
Ein neuer Bericht der Sicherheitsplattform Browser LayerX bestätigt, dass die Kampagne nach der ersten Ausstellung nicht gelöscht wurde und die 17 Erweiterungen in dieser Runde, viele mit Namen, die legitime Funktionen wie Übersetzer, Anzeigenblocker oder Video-Download-Tools imitieren. Ebene X fand heraus, dass einige dieser Ergänzungen seit Jahren in offiziellen Repositorien waren, mit einer dokumentierten Präsenz seit 2020, was eine langfristige Operation, die in der Lage war, unter Radar zu bleiben. Sie können die LayerX-Analyse auf Ihrer offiziellen Website lesen Schichtx.ai wo sie die technische Evolution von GhostPoster erklären.
Unter den von LayerX hervorgehobenen technischen Entwicklungen ist die Entwicklung zu einer robusteren Ausführung in mehreren Phasen: Neben dem Verstecken von Code in Icons begannen die Angreifer die schädliche Last in Bildern, die in der Erweiterung enthalten sind, zu packen und die Logik der Vorbereitung auf das Hintergrundskript (Hintergrundskript) der Erweiterung selbst zu verschieben. In der Laufzeit liest dieses Skript die Rohbytes des Bildes, das einen bestimmten Abgrenzer sucht (der Bericht erwähnt eine Sequenz als "> > > >"), extrahiert die versteckten Daten, speichert sie vorübergehend und dekodiert sie dann von Base64, um sie als JavaScript auszuführen. Dieser Mechanismus erhöht die Latenzzeit vor der Aktivierung und erschwert die Erkennung durch Werkzeuge, die nur sichtbare Inhalte oder die offensichtlichsten Dateien analysieren.
Der Zweck dieser Nutzlast ist vielfältig und schädlich: persistente Überwachung von Seiten, die Affiliate-Links besuchen, umleiten oder behandeln, um Provisionen zu stehlen, und die unsichtbare Einführung von iframes, die betrügerische Eindrücke und Klicks erzeugen. Alle diese Aktionen beeinflussen nicht nur die Privatsphäre des Opfers, sondern können auch wirtschaftliche Verluste für Nutzer, Unternehmen und Werbenetzwerke verursachen. Ebene X betont, dass die Modularität und Sigil des neuen Musters einen größeren Schlaf und Widerstand gegenüber statischen und dynamischen Filtern ermöglichen.
Offizielle Plattformen haben reagiert: Laut Nachrichtenberichten haben Mozilla und Microsoft bereits identifizierte Erweiterungen aus ihren Geschäften entfernt, und Google bestätigte die Entfernung der betroffenen Versionen des Chrome Web Stores. BleepingComputer umfasste den Widerruf und die Kommunikation mit Google; sein Portal ist ein guter Hinweis auf das Ergebnis zu folgen und zu sehen, welche spezifischen Erweiterungen entfernt wurden: bleepingcomputer.com. Dennoch, Entfernen einer Erweiterung aus dem Speicher nicht seine Anwesenheit in den Browsern von denen, die bereits installiert, so das Risiko bleibt zwischen Benutzern mit früheren Einrichtungen.
Wenn Sie über die Installation einer dieser Erweiterungen oder irgendein anderes seltsames Verhalten im Browser besorgt sind, gibt es konkrete und nützliche Aktionen, die Sie sofort ergreifen können. Zuerst, überprüfen Sie die Liste der installierten Erweiterungen und entfernen Sie alle Erweiterungen, die Sie nicht erkennen oder brauchen. Die Browser bieten Erweiterungsverwaltungsseiten mit Schritt-für-Schritt-Leitfaden: für Chrome überprüfen Googles Hilfe in Unterstützung.google.com, für Firefox Mozilla Dokumentation in Unterstützung.mozilla.org und für Edge die Microsoft-Anweisungen in Unterstützung.microsoft.com. Nach dem Entfernen der Erweiterung wird empfohlen, lokale Daten zu löschen, die mit Erweiterungen verbunden sind (wenn der Browser erlaubt), sauberen Cache und Cookies, und, wenn Sie vermuten, dass sensible Daten kompromittiert werden könnten, drehen Sie Passwörter und überprüfen Sie Zugriff mit wichtigen Konten verbunden.
In ernsteren Szenarien ist es auch angebracht, eine aktualisierte Anti-Malware-Analyse, Überprüfung Transaktionen und ungewöhnliche Aktivität in Dienstleistungen im Zusammenhang mit Ihrer Navigation (Online-Konten, Affiliate-Programme, etc.) und, wenn die Erweiterung hatte umfangreiche Berechtigungen, betrachten Sie die Erstellung eines neuen Browser-Profils oder sogar Migration von Daten zu einer sauberen Installation, um persistente Überreste zu vermeiden. Teams und Administratoren sollten die auf Unternehmensgeräten installierten Erweiterungen überprüfen, Richtlinien zwingen, die die Installation auf nur verifizierte Ergänzungen beschränken und Netzwerkprotokolle auf der Suche nach verdächtigen Domain-Kommunikationen überwachen, die zum Herunterladen von ovalen Lasten verwendet werden.
Der GhostPoster-Fall zeigt zwei wichtige Lektionen an: einerseits kann die Wunsch, den Wächter nicht auf scheinbar harmlose Erweiterungen zu senken - ein Übersetzer oder ein Bilddownload kann Angriffsvektoren werden - und andererseits die Notwendigkeit für kontinuierliche Verbesserungen bei der Überwachung der Erweiterungsspeicher und in den Verteidigungen, die Code in binären und Bildern versteckt erkennen. Wenn Sie den Modus operandi und technische Empfehlungen vertiefen möchten, die öffentlichen Berichte von Koi Security and Layer X sind ein guter Ausgangspunkt, und spezialisierte Medien wie BleepingComputer bieten Follow-up der Mediation in den Geschäften.
Die letzte Einladung ist einfach: Überprüfen Sie Ihre Erweiterungen ruhig, entfernen Sie das unnötige und halten Sie Ihren Browser auf dem neuesten Stand. Die Erweiterungen erleichtern uns das Leben, aber sie öffnen auch eine Eingangstür, wenn wir sie nicht mit Vorsicht verwalten.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...