✔Малварь GhostPoster скрывалась в логотипах 17 аддонов для Firefox - «Новости»

19 декабря 2025 18 Новости / Изображения / Преимущества стилей / Текст / Заработок / Ссылки / Сайтостроение 0

В общей сложности было найдено 17 вредоносных расширений — VPN-сервисы, переводчики, блокировщики рекламы и погодные виджеты:

free-vpn-forever

screenshot-saved-easy

weather-best-forecast

crxmouse-gesture

cache-fast-site-loader

freemp3downloader

google-translate-right-clicks

google-traductor-esp

world-wide-vpn

dark-reader-for-ff

translator-gbbd

i-like-weather

google-translate-pro-extension

谷歌-翻译

libretv-watch-free-videos

ad-stop

right-click-google-translate

Не все перечисленные расширения использовали одинаковую цепочку доставки полезной нагрузки, но все они демонстрируют одинаковое поведение и взаимодействуют с одной и той же инфраструктурой.

Отмечается, что на момент публикации отчета многие из них все еще были доступны в каталоге дополнений Firefox.

Как объясняют исследователи, вредоносный код скрывался в PNG-файлах логотипов расширений. Специальный скрипт парсил необработанные байты изображения, извлекал спрятанный там jаvascript-фрагмент и запускал его. Этот фрагмент выступал загрузчиком, который через 48 часов после установки обращался к удаленному серверу за основным пейлоадом.

Чтобы избежать обнаружения системами мониторинга трафика, загрузчик в основном находятся в спящем режиме и скачивает пейлоад только в одном из десяти случаев. Если основной домен недоступен, малварь переключается на резервный.

Полученная полезная нагрузка многократно обфусцирована путем замены регистра символов и использования base64. После расшифровки данные дополнительно шифруются с помощью XOR, где ключ генерируется на основе runtime ID расширения.

Финальный пейлоад получает доступ к браузеру и может:

подменять партнерские ссылки на крупных сайтах e-commerce, перенаправляя комиссию атакующим;

внедрять код отслеживания Google Analytics на каждую страницу, которую открывает пользователь;

удалять защитные HTTP-заголовки из всех ответов;

обходить CAPTCHA тремя разными способами, чтобы симулировать действия реального пользователя;

внедрять невидимые iframe для мошенничества с рекламой и кликами (такие фреймы самоуничтожаются через 15 секунд).

Хотя малварь не похищает пароли и не перенаправляет жертв на фишинговые страницы, исследователи подчеркивают, что она угрожает конфиденциальности пользователей. Главная опасность заключается в том, что скрытый загрузчик позволяет операторам GhostPoster в любой момент развернуть в системах жертв более агрессивный пейлоад.

Представители Mozilla сообщили СМИ, что команда по работе с дополнениями уже расследовала этот инцидент и удалила все опасные расширения из каталога addons.mozilla.org.

«Безопасность пользователей — наш главный приоритет. Мы обновили автоматические системы обнаружения, чтобы выявлять и блокировать расширения с похожими паттернами атак сейчас и в будущем. Мы продолжим улучшать защиту по мере появления новых угроз», — заявляют в Mozilla.

Эксперты из компании Koi Security обнаружили вредоносную кампанию, которой дали имя GhostPoster. Злоумышленники использовали стеганографию для сокрытия вредоносного jаvascript-кода в логотипах 17 расширений для Firefox. Зараженные аддоны установили более 50 000 пользователей. В общей сложности было найдено 17 вредоносных расширений — VPN-сервисы, переводчики, блокировщики рекламы и погодные виджеты: free-vpn-forever screenshot-saved-easy weather-best-forecast crxmouse-gesture cache-fast-site-loader freemp3downloader google-translate-right-clicks google-traductor-esp world-wide-vpn dark-reader-for-ff translator-gbbd i-like-weather google-translate-pro-extension 谷歌-翻译 libretv-watch-free-videos ad-stop right-click-google-translate Не все перечисленные расширения использовали одинаковую цепочку доставки полезной нагрузки, но все они демонстрируют одинаковое поведение и взаимодействуют с одной и той же инфраструктурой. Отмечается, что на момент публикации отчета многие из них все еще были доступны в каталоге дополнений Firefox. Как объясняют исследователи, вредоносный код скрывался в PNG-файлах логотипов расширений. Специальный скрипт парсил необработанные байты изображения, извлекал спрятанный там jаvascript-фрагмент и запускал его. Этот фрагмент выступал загрузчиком, который через 48 часов после установки обращался к удаленному серверу за основным пейлоадом. Чтобы избежать обнаружения системами мониторинга трафика, загрузчик в основном находятся в спящем режиме и скачивает пейлоад только в одном из десяти случаев. Если основной домен недоступен, малварь переключается на резервный. Полученная полезная нагрузка многократно обфусцирована путем замены регистра символов и использования base64. После расшифровки данные дополнительно шифруются с помощью XOR, где ключ генерируется на основе runtime ID расширения. Финальный пейлоад получает доступ к браузеру и может: подменять партнерские ссылки на крупных сайтах e-commerce, перенаправляя комиссию атакующим; внедрять код отслеживания Google Analytics на каждую страницу, которую открывает пользователь; удалять защитные HTTP-заголовки из всех ответов; обходить CAPTCHA тремя разными способами, чтобы симулировать действия реального пользователя; внедрять невидимые iframe для мошенничества с рекламой и кликами (такие фреймы самоуничтожаются через 15 секунд). Хотя малварь не похищает пароли и не перенаправляет жертв на фишинговые страницы, исследователи подчеркивают, что она угрожает конфиденциальности пользователей. Главная опасность заключается в том, что скрытый загрузчик позволяет операторам GhostPoster в любой момент развернуть в системах жертв более агрессивный пейлоад. Представители Mozilla сообщили СМИ, что команда по работе с дополнениями уже расследовала этот инцидент и удалила все опасные расширения из каталога addons.mozilla.org. «Безопасность пользователей — наш главный приоритет. Мы обновили автоматические системы обнаружения, чтобы выявлять и блокировать расширения с похожими паттернами атак сейчас и в будущем. Мы продолжим улучшать защиту по мере появления новых угроз», — заявляют в Mozilla.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.