O extensie de browser pe care o considerai inofensivă – un traducător rapid, un ad blocker sau un downloader – s-a dovedit a fi, de fapt, o poartă deschisă pentru activități malițioase. În ultimele luni, cercetătorii în securitate au identificat un nou val de extensii rău intenționate, provenind dintr-o campanie numită GhostPoster, care a infectat sute de mii de utilizatori în ecosistemele Chrome, Edge și Firefox. Deși aceste extensii au fost eliminate din magazinele oficiale, pericolul persistă pentru cei care le au deja instalate, întrucât continuă să funcționeze până la eliminarea manuală.
Cum funcționează GhostPoster și de ce pare atât de invizibil
Spre deosebire de metodele clasice de infectare, GhostPoster nu ascunde codul malițios în fișierele extensiei vizibile. În schimb, atacatorii folosesc tehnici de steganografie pentru a ascunde „loader-ul” în pictograma extensiei, un fișier PNG aparent inofensiv. Aceasta înseamnă că extensia citește imaginea, extrage date ascunse și abia apoi descarcă restul componentelor periculoase dintr-un server controlat de hackeri. Ca să evite detectarea, activarea extensiei nu se întâmplă imediat; analizele publice au consemnat faptul că, în primele 48 de ore, extensia poate părea complet normală, chiar și în timpul verificărilor automate.
Această metodă sofisticată face ca identificarea rapidă în magazinele de extensii să fie aproape imposibilă. În plus, majoritatea acestor plugin-uri apar ca instrumente și funcții aparent utile – traduceri, capturi de ecran, downloader-i sau personalizări ale interfeței – și cer utilizatorilor permisiuni ample, precum accesul pe toate site-urile. Astfel, utilizatorii acceptă rapid aceste permisiuni, fără a-și pune foarte multă întrebare, iar atacatorii preiau controlul asupra traficului și datelor.
Ce pot face cei afectați și cum să se protejeze
Atunci când descoperi că ai o extensie suspectă instalată, primul pas este eliminarea ei completă. Dezactivarea nu e suficientă, deoarece extensiile dezactivate pot fi reactivare accidental sau pot fi restore din sincronizare. Este esențial să verifici lista de extensii și să ștergi definitiv orice componentă suspectă, precum cele menționate anterior. După această operațiune, trebuie să te asiguri că nu ți-au fost modificate setările browserului – pagina de start, motorul de căutare sau permisiunile – și să rulezi o scanare de securitate folosind un antivirus actualizat.
Un aspect important este verificarea tuturor dispozitivelor conectate la același cont de browser. În cazul în care sincronizarea este activată și pe alte dispozitive, extensia periculoasă se poate reintroduce automat, chiar dacă ai eliminat-o de pe un singur sistem. De aceea, verificarea și curățarea tuturor gadgeturilor devine o operațiune esențială.
Prevenirea riscurilor viitoare în utilizarea extensiilor
Pentru a evita similar oportunități de infectare, experții recomandă păstrarea unui număr redus de extensii și verificarea atentă a celor instalate. Fiecare adăugare trebuie însoțită de o evaluare a dezvoltatorului, a permisiunilor și a istoricului actualizărilor. Dacă o extensie solicită acces complet la toate site-urile pentru simplul beneficiu al traducerii sau al blocajului de reclame, trebuie tratată cu scepticism. Mai mult, preferabilă este alegerea de soluții cu reputație solidă și recenzii bune, pentru a diminua riscul de infectare și de compromitere a intimității.
Trecerea în revistă constante a extensiilor instalate și eliminarea celor nefolosite reprezintă o măsură vitală pentru securitatea digitală. Într-un mediu în continuă evoluție, unde atacurile sofisticate devin tot mai frecvente, orice utilizator trebuie să fie vigilent și bine informat despre riscurile ascunse în acele extensii aparent banale, care adesea se dovedesc a fi cele mai periculoase.
