用緊 Chrome、Edge 或 Firefox 嘅你小心隨時中招!安全機構揭發名為「GhostPoster」的惡意瀏覽器擴充功能病毒,竟然成功潛伏官方商店達 5 年,全球逾 84 萬用戶受害!黑客狡猾地將代碼藏於 Logo 圖像中,連大家常用的 AdBlock、VPN 及翻譯工具都榜上有名。最恐怖的是官方下架後,系統並不會自動清理!
即刻【按此】,用 App 睇更多產品開箱影片
惡意瀏覽器擴充功能潛伏 5 年 逾 20 款藏毒名單曝光
平日上網為了方便,不少人都會在瀏覽器安裝擴充功能(Browser Extensions)。但安全研究機構 Koi Security 近日揭發了一項名為「GhostPoster」的大規模惡意軟件攻擊行動。研究指出,黑客利用隱藏於擴充功能中的惡意代碼,針對 Google Chrome、Mozilla Firefox 及 Microsoft Edge 的用戶發動攻擊。自去年 12 月至今,受感染案例已錄得超過 84 萬宗!最危險的是,這些涉事工具早在 2020 年起已於官方商店上架,潛伏期長達 5 年。
GhostPoster 病毒極隱蔽!將惡意代碼藏於 Logo 圖像
根據 Koi Security 的分析報告,「GhostPoster」的入侵手法極具隱蔽性,堪稱防不勝防。
入侵機制拆解:竄改連結、導入詐騙網
「掛羊頭賣狗肉」: 惡意代碼並非直接存放於擴充功能的主程式內,而是巧妙地隱藏於擴充功能標誌(Logo)的圖像數據中,以此規避官方的安全偵測。
監視與觸發: 當用戶安裝後,程式會率先監視用戶的瀏覽行為。隨後,透過圖像代碼中的後門,加載一段隱藏在三個「=」符號後的腳本。
實際破壞: 該腳本一旦執行,將會竄改聯盟行銷連結(Affiliate Links),並將用戶導向詐騙網站或偽造優惠頁面。更嚴重的是,攻擊者能藉此獲取受影響裝置的擴充控制權限,進一步植入其他惡意軟件。
逾 20 款受感染擴充功能名單(即時核對!)
目前 Mozilla 及 Microsoft 已採取行動,迅速從官方商店移除相關擴充功能。但如果你過去曾下載以下工具,系統是不會自動清理的,必須手動卸載。請立即核對以下名單:
| 工具類別 | 受影響的擴充功能 (Extension) 名稱 |
| 廣告攔截類 | AdBlock、Ads Block Ultimate |
| 翻譯工具類 | Google Translate in Right Click、One Key Translate、Translate Selected Text with Google、Translate Selected Text with Right Click |
| 網絡工具類 | Free VPN Forever、World Wide VPN、RSS Feed |
| 影音下載與播放類 | YouTube Download、Free MP3 Downloader、Floating Player – PiP Mode、Instagram Downloader |
| 天氣資訊類 | I Like Weather、Weather Best Forecast |
| 實用工具與外觀類 | Amazon Price History、Color Enhancer、Convert Everything、Cool Cursor、Full Page Screenshot、Page Screenshot Clipper、Save Image to Pinterest on Right Click |
防伏小貼士:
這次黑客使用的是一種名為「隱寫術(Steganography)」的高級技巧,將代碼混入圖片的像素中,傳統的防毒軟件掃描通常只看代碼文件而忽略圖片,因此成功避過偵測。 自保黃金法則: 下次安裝任何 Extension 時,即使是在官方商店,也必須留意**「權限要求」**!如果一個簡單的「天氣預報」或「轉鼠標顏色」工具,竟然要求「讀取和變更你在所有網站上的資料」權限,這絕對是極度危險的警號,千萬不要安裝!
3步極速自保!Chrome 手動卸載 Extension 教學
對於已經安裝上述軟件的用戶,必須立即採取手動移除行動,以終止潛在的資安威脅。以下為 Google Chrome 的手動卸載步驟:
進入設定選單: 打開 Chrome 瀏覽器,點擊右上角的「三點」(自訂及管理 Google Chrome)按鈕。
開啟擴充功能介面: 在選單中選擇「擴充功能」(Extensions) > 「管理擴充功能」(Manage Extensions)。
徹底移除: 進入管理界面後,就會出現目前已安裝的所有 Extension 工具。仔細核對上述的中伏名單,找到可疑工具後,點擊「移除」(Remove)即可徹底刪除。
常見問題解答
Q1: 點解官方商店已經下架,我仲要手動刪除?
A1: 瀏覽器官方商店的「下架」行動,只是阻止新用戶繼續下載該惡意擴充功能。但對於已經將軟件安裝到個人電腦的舊用戶,基於系統權限與用戶私隱機制,官方通常不會遙距強行刪除你本機內的檔案。因此,用戶必須自行手動卸載才能徹底清理病毒。
Q2: 我用緊 iPhone / Android 手機上網,會唔會受 GhostPoster 影響?
A2: 今次發現的「GhostPoster」惡意攻擊,主要是透過桌面版瀏覽器(如 Windows/Mac 上的 Chrome、Edge、Firefox)的「擴充功能(Extensions)」機制進行傳播。一般手機版的 Chrome 瀏覽器並不支援安裝此類桌面版擴充功能,因此手機用戶受直接影響的機率極低。但仍建議不要隨意點擊不明連結。
Q3: 以後安裝 Extension 點樣判斷係咪假冒軟件?
A3: 許多惡意工具會刻意使用與知名正版軟件(如 AdBlock)相似的名稱或圖示來混淆視聽。安裝前,請務必檢查三個重點:第一,開發者名稱是否為官方認證;第二,下載次數與用戶評價(若只有數百人下載卻全是 5 星好評,很可能是造假);第三,如編輯部點評所指,仔細審查其索取的系統權限是否與功能相符。
【相關報道】
【相關話題】
拍 Vlog 神器免費玩!舊 iPhone 解鎖「雙鏡錄影」1 招拍出「畫中畫」合照 唔使換iPhone 17
iPhone 17 系列新增的「前後鏡頭雙開」功能備受矚目,但舊機用戶無需換機亦能即時體驗。透過第三方應用程式的隱藏技巧,現有 iPhone 即可打破系統限制,同步啟動前後置鏡頭進行 Vlog 拍攝,本文將拆解解鎖此項實用功能的具體步驟。
Source: ezone.hk