GhostPoster: Come 17 Estensioni Malevole Hanno Infettato 840.000+ Utenti

GhostPoster: estensioni browser malevole infettano centinaia di migliaia di utenti

GhostPoster: estensioni browser malevole infettano centinaia di migliaia di utenti

Hai estensioni per VPN gratuite, blocchi pubblicità o traduttori? Potrebbero celare malware pericoloso. La campagna GhostPoster ha colpito oltre 840.000 utenti su Chrome, Firefox ed Edge, spiando dati e navigazioni con trucchi invisibili. Soluzione rapida: controlla le estensioni, disinstalla quelle sospette e resetta il browser subito. Questo articolo ti guida passo per passo per navigare sicuro.

La minaccia invisibile nelle estensioni browser

Molti utenti installano estensioni promettenti come blocchi annunci, VPN illimitate o tool di traduzione rapida, convinti di migliorare la navigazione. Ma gruppi di cybercriminali, come DarkSpectre, hanno creato 17 estensioni trappola per Firefox con oltre 50.000 download ciascuna e altre 17 per Chrome ed Edge, raggiungendo 840.000 installazioni totali. Nomi innocui come “Free VPN Forever”, “Traduttore Google con clic destro” o “Blocco annunci definitivo” ingannano gli utenti.

Il trucco principale è la steganografia: codice JavaScript malevolo nascosto nelle icone PNG. Gli store ufficiali non lo rilevano, trattandolo come un’immagine normale. Dopo l’installazione, l’estensione attende 48 ore prima di attivare il payload, contattando server remoti per monitorare ogni azione utente.

Meccanismi di attacco e furto dati

L’infezione è graduale per evitare rilevamenti. Passati i primi giorni, scarica script aggiuntivi e rimuove intestazioni di sicurezza HTTP come Content-Security-Policy e X-Frame-Options. Questo espone a clickjacking e attacchi cross-site, permettendo iniezioni di codice estraneo.

Successivamente, inietta tracker su tutte le pagine visitate, registrando siti, tempi di installazione e creando un profilo fingerprint del browser. Aggiunge iframe invisibili per frodi pubblicitarie e click fraudolenti, che svaniscono dopo 15 secondi. Dirotta link di affiliazione per rubare commissioni e aggira CAPTCHA anti-bot con solver remoti.

La campagna attiva dal 2020, partita da Edge e arrivata a Chrome e Firefox, ha raggiunto oltre 2,2 milioni di utenti. Estensioni camuffate da downloader YouTube, tool Instagram o utility varie continuano a diffondersi.

Rischi concreti per la tua sicurezza

GhostPoster compromette privacy e dispositivo. Spia abitudini di navigazione, inietta pubblicità fraudolente e indebolisce protezioni del browser. Conseguenze: furto dati sensibili, identità rubata, rallentamenti PC e porte aperte a phishing o ransomware.

Utenti fidano negli store ufficiali, ma i criminali sfruttano questa fiducia per massicce infezioni. Estensioni “sleeper” restano innocue per anni, guadagnano recensioni positive, poi si trasformano in spyware con un update.

Come proteggerti in modo efficace

Agisci immediatamente con questi passi:

  • Verifica estensioni: Su Chrome digita chrome://extensions/, su Firefox about:addons, su Edge edge://extensions/. Elimina VPN gratuite, ad-blocker sospetti o tool con nomi generici.
  • Reset browser: Ripristina impostazioni di default per cancellare modifiche nascoste.
  • Aggiorna password: Cambia quelle di email, banca e account critici.
  • Installa protezioni affidabili: Usa estensioni verificate come Malwarebytes Browser Guard per bloccare tracker, annunci e malware.
  • Controlla permessi: Prima di installare, leggi recensioni, numero download e autorizzazioni richieste.

Store ufficiali non sono infallibili: privilegia estensioni con milioni di utenti e feedback autentici.

Abitudini quotidiane per una navigazione sicura

Per prevenire minacce future:

  • Limita estensioni a quelle essenziali.
  • Installa antivirus con scansione web.
  • Attiva aggiornamenti automatici del browser.
  • Usa modalità incognito per test veloci.

Queste pratiche riducono rischi drasticamente, mantenendo la navigazione fluida e protetta.

Approfondimento tecnico per esperti

Catena di infezione di GhostPoster: analisi dettagliata.

  1. Incorporazione payload: Codice JavaScript malevolo codificato in file PNG tramite steganografia. Estrazione dinamica con librerie come png.js durante l’esecuzione.

  2. Loader stealth: Ritardo di 48 ore o più post-installazione. Contatto C2 (es. liveupdt.com, dealctr.com) solo in ~1% casi per evadere sandbox. Ritardi casuali estesi a giorni.

  3. Esecuzione payload: Modifica header HTTP in risposte:

    // Esempio di rimozione CSP/XFO
fetch(response).then(r => {
  const newHeaders = r.headers;
  delete newHeaders['content-security-policy'];
  delete newHeaders['x-frame-options'];
  return new Response(r.body, { headers: newHeaders });
});

  4. Tracking e monetizzazione:

    • Iniezione script per log siti, timestamp, fingerprint (canvas, WebGL).
    • Iframe 1px per ad-fraud: caricano risorse C2, simulano click falsi.
    • Hijacking affiliate: riscrittura URL verso siti controllati.
    • Bypass CAPTCHA tramite servizi remoti.

  5. Evasione rilevamento:

    • Nessuna mutazione DOM visibile.
    • Pulizia automatica dopo 15 secondi.
    • Varianti polimorfiche per eludere signature.

Impatto globale: Oltre 2,2 milioni installazioni, 9 milioni dispositivi colpiti dal 2020 al 2026. Domini C2 su infrastrutture shadow simili a Cloudflare.

Mitigazioni avanzate:

  • Analisi statica PNG con stegdetect o binwalk.
  • Monitoraggio rete: regole Suricata per traffico C2.
  • Policy browser enterprise con CSP rigido.
  • Regole YARA per signature JavaScript.

Per ricercatori: monitora store via API (Chrome Web Store, AMO). Segnala a team security vendor. Estensioni sleeper rappresentano evoluzione: da innocue a malevole post-update, richiedendo vigilanza continua.

Fonte: https://cybersecuritynews.com/ghostposter-malicious-browser-extensions/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto