Extensiile de browser sunt, adesea, elemente infime și inofensive în percepția utilizatorilor – mici instrumente pentru traduceri rapide, blocatoare de reclame sau parametri de captură de ecran. Însă aceste aparente „bună-credință” maschează adesea unele dintre cele mai periculoase amenințări digitale. La nivel mondial, cercetătorii în securitate au descoperit o nouă campanie malițioasă, denumită GhostPoster, care vizează extensii din Chrome, Edge și Firefox, și care a fost asociată cu sute de mii de instalări. Deși multe dintre aceste extensii au fost ulterior eliminate din magazinele oficiale, utilizatorii care le-au instalat rămân vulnerabili dacă nu le șterg manual.
Metoda subtilă de livrare: steganografia și reticența detectării
Spre deosebire de atacurile clasice, unde codul malițios este vizibil în fișiere, GhostPoster folosește o tehnică sofisticată de ascundere: steganografia. Primul „loader” al malware-ului se află în pictograma extensiei, o imagine PNG în care atacatorii introduc în mod discret date criptate, care sunt apoi extrase și folosite pentru sua activare ulterioară. Aceasta înseamnă că, în primele zile de la instalare, extensiile păstrează o aparentă normalitate, evitând filtrul de detectare al sistemelor automate și al verificărilor rapide din magazinele de extensii.
Un alt element care face aceste campanii dificil de prins este modul în care se lansează. De obicei, utilizatorii acceptă rapid permisiuni pentru un motiv simplu: funcțiile apar să fie utile și inofensive. Astfel, o extensie care cere acces complet la toate site-urile poate părea un instrument benign, dar în realitate îngăduie atacatorilor accesul la orice activitate online a utilizatorului. În plus, aceste extensii pot rula în fundal, cascadă de la instalare, pentru injectarea de scripturi malițioase, redirecționări sau distrugerea politicilor de securitate ale paginilor accesate, toate fără ca utilizatorul să suspecteze.
Lista și riscurile: de la furt de trafic la fraudă și manipulare
Amănuntele recente ale anchetatorilor indică peste 17 extensii diferite, care au peste 840.000 de utilizatori la nivel global, și care pot funcționa de cel puțin trei ani. Printre acestea, se află denumiri precum „Translate Selected Text”, „AdBlocker” sau „Full Page Screenshot”, toate aparent banale. Însă, dedesubt, aceste instrumente pot fi folosite pentru deturnarea traficului de afiliere, injectarea de scripturi frauduloase, modificarea antetelor HTTP sau chiar ocolirea CAPTCHA-urilor în anumite condiții. Toate aceste acțiuni compromit confidențialitatea și integritatea sesiunii, creând un teren propice pentru abuzuri ulterioare, inclusiv profilare agresivă sau redirecționări suspecte.
Deși nu sunt asociate direct cu plăgi precum furtul de parole sau efectuarea de phishing, riscul major constă în posibilitatea de a crea un mediu nevăzut pentru malware, care se infiltrează subtil în fluxul obișnuit de navigare. Aceasta face ca detectarea și stoparea lor să fie mult mai dificilă, mai ales pentru utilizatorii nespecializați.
Ce trebuie făcut dacă suspectezi că ai instalat o extensie malițioasă
Primul pas este eliminarea completă a extensiilor suspecte, nu doar dezactivarea lor temporară. În cazul în care acestea sunt păstrate, pot fi reactivat automat prin sincronizare între dispozitive, sau pot reveni după o simplă reinstalare dacă nu sunt șterse din sistem. Astfel, verificarea manuală a listei de extensii și eliminarea celor identificate ca fiind potențial malițioase devine o prioritate.
După această acțiune, se recomandă o scanare temeinică cu o soluție de securitate de încredere și verificarea setărilor browserului – precum pagina de start și motorul de căutare – pentru a evita redeschiderea automată a unor extensii suspecte. În cazul în care folosești sincronizare, trebuie verificat toate dispozitivele conectate, pentru a preveni reaparția extensiilor malițioase.
Prevenție și atenție pe viitor
Pentru a reduce riscul în viitor, este esențial să păstrezi doar extensiile strict necesare și să faci verificări periodice. Înainte de a adăuga un nou plug-in, trebuie să verifici dacă dezvoltatorul are o reputație clară, iar permisiunile solicitate sunt rezonabile pentru funcționalitatea oferită. Extensiile cu acces complet la izvorul de date reprezintă de obicei un semnal de alarmă, iar variantele cu reputație consolidată și recenzii pozitive de lungă durată sunt alegeri mai sigure.
Între timp, cercetările continuă și se așteaptă ca odată cu avansarea tehnologiei, atacurile de tip GhostPoster să devină tot mai rafinate, accesul la informație și la controlul datelor personale devenind tot mai vulnerabil în peisajul digital actual. Un lucru este clar: păstrarea vigilenței este singura garanție în fața celor care se ascund în spatele unor aparențe de „instrumente utile”.
