Mais 16 extensões maliciosas da campanha hacker GhostPoster foram encontradas

Pesquisadores de segurança da empresa LayerX descobriram mais 17 extensões maliciosas nos navegadores Chrome, Firefox e Edge: elas monitoram a atividade dos usuários e instalam backdoors para acesso contínuo no computador da vítima. Juntos, os add-ons somam mais de 840.000 downloads e fazem parte da campanha já conhecida como GhostPoster, descoberta pela Koi Security em dezembro.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é um ciberataque "living off the land"?

Em 2025, a revelação da iniciativa cibercriminosa trouxe à luz outras 17 extensões maliciosas que juntavam 50.000 downloads, também envolvidas no monitoramento e instalação de backdoors no computador dos usuários. 

GhostPoster e seus ataques

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Confira, logo abaixo, a lista das novas extensões maliciosas encontradas pela equipe:

• Google Translate in Right Click – 522.398 downloads;
• Translate Selected Text with Google - 159.645 downloads;
• Ads Block Ultimate – 48.078 downloads;
• Floating Player – PiP Mode – 40.824 downloads;
• Convert Everything – 17.171 downloads;
• Youtube Download – 11.458 downloads;
• One Key Translate – 10.785 downloads;
• AdBlocker – 10.155 downloads;
• Save Image to Pinterest on Right Click – 6.517 downloads;
• Instagram Downloader – 3.807 downloads;
• RSS Feed – 2.781 downloads;
• Cool Cursor – 2.254 downloads;
• Full Page Screenshot – 2.000 downloads;
• Amazon Price History – 1.197 downloads;
• Color Enhancer – 712 downloads;
• Translate Selected Text with Right Click – 283 downloads;
• Page Screenshot Clipper – 86 downloads.

Algumas delas foram adicionadas às Web Stores ainda em 2020, expondo usuários a malwares em repositórios oficiais para navegadores por anos. A maioria das extensões surgiu primeiro na loja do Edge, se expandindo para Chrome e Firefox mais tarde.

O código malicioso em JavaScript, em certos casos, ficava escondido na logo PNG do add-on, trazendo instruções para que o computador baixe o payload principal de um servidor remoto.

Para dificultar a detecção por profissionais de segurança, os atacantes fizeram as extensões baixarem o payload malicioso apenas 10% das vezes, poupando alguns usuários. Uma das capacidades do malware é roubar links de afiliados em sites de ecommerce, tirando dinheiro de criadores de conteúdo, por exemplo.

Ele também injeta monitoramento de Google Analytics em toda página visitada, tirando headers de segurança de todas as respostas HTTP. As extensões foram removidas dos repositórios do Edge e do Firefox, mas caso você identifica ainda ter alguma delas instalada, é altamente recomendado que remova do navegador e apague qualquer cache guardado.

Confira também no Canaltech:

• Verificação de idade no Pornhub gera bloqueio da plataforma nos EUA e na França
• Convite do mal: Calendário do Google tem falha exposta através do Gemini
• Conheça as empresas que mais aparecem em campanhas de phishing

VÍDEO | 5 extensões indispensáveis para quem está em Home Office #shorts

Fonte: LayerX