Uma nova campanha, batizada de 'GhostPoster', está ocultando código JavaScript na imagem do logo de extensões maliciosas do Firefox, que juntas acumulam mais de 50 mil downloads.
O objetivo é monitorar a atividade do navegador e implantar uma backdoor.
O código malicioso concede aos operadores acesso persistente e com privilégios elevados ao navegador.
Isso permite sequestrar links de afiliados, injetar códigos de rastreamento e cometer fraudes envolvendo cliques e anúncios.
Esse script oculto funciona como um loader que busca a payload principal a partir de um servidor remoto.
Para dificultar a detecção, o payload é recuperado apenas em 10% das tentativas.
Pesquisadores da Koi Security descobriram a campanha GhostPoster e identificaram 17 extensões do Firefox comprometidas.
Essas extensões extraem e executam o malware diretamente do arquivo PNG do logo ou fazem o download do payload do servidor dos atacantes.
As extensões afetadas pertencem a categorias populares, como VPNs gratuitas, capturas de tela, previsão do tempo, tradutores, bloqueadores de anúncios e players multimídia, entre outras.
Embora nem todas utilizem a mesma cadeia para carregar o payload, todas apresentam comportamento semelhante e se comunicam com a mesma infraestrutura.
A análise inicial da Koi Security foi feita na extensão FreeVPN Forever, que foi sinalizada por sua ferramenta de IA ao detectar o parsing dos bytes crus da imagem do logo para localizar um trecho oculto de JavaScript por meio de esteganografia.
Esse loader JavaScript é ativado 48 horas após a instalação, buscando o payload em um domínio hardcoded.
Caso falhe, um domínio secundário é utilizado como backup.
Segundo os pesquisadores, o loader permanece majoritariamente inativo e baixa o payload apenas 10% das vezes, aumentando a chance de escapar das ferramentas de monitoramento de tráfego.
A payload maliciosa, fortemente ofuscada por técnicas de troca entre maiúsculas e minúsculas e codificação em base64, é decodificada por um cifrador e depois criptografada com XOR, usando uma chave derivada do runtime ID da extensão.
Entre as funcionalidades do payload final, destacam-se:
- Sequestrar links de afiliados em grandes sites de e-commerce, redirecionando comissões aos criminosos;
- Injetar Google Analytics em todas as páginas visitadas pelo usuário;
- Remover cabeçalhos de segurança das respostas HTTP;
- Contornar proteções CAPTCHA com três métodos distintos para evitar bloqueios de bots;
- Injetar iframes invisíveis que realizam fraudes de anúncios e cliques, além de rastreamento, apagando-se automaticamente após 15 segundos.
Embora o malware não colete senhas nem redirecione para páginas de phishing, ele compromete a privacidade dos usuários.
Além disso, devido ao loader furtivo utilizado pelo GhostPoster, a campanha pode se tornar muito mais perigosa caso os operadores decidam lançar um payload com funcionalidades mais destrutivas.
Usuários das extensões listadas são aconselhados a removê-las imediatamente e a considerar a troca de senhas em contas críticas.
Grande parte dessas extensões maliciosas ainda estava disponível na loja oficial do Firefox no momento da publicação desta reportagem.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...