Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нападите GhostPoster кријат малициозен JavaScript во логата на Firefox додатоци

Објавено: 17.12.2025

Нова кампања наречена „GhostPoster“ крие JavaScript код во сликата-лого на злонамерни Firefox екстензии со повеќе од 50.000 преземања, со цел да ја следи активноста на прелистувачот и да постави задна врата (backdoor).

Малициозниот код им обезбедува на операторите постојан пристап со високи привилегии до прелистувачот, овозможувајќи им да киднапираат affiliate линкови, да вбризгуваат код за следење и да вршат измами со кликови и реклами.

Скриената скрипта функционира како loader кој го презема главниот payload од оддалечен сервер. За да се отежне откривањето, payload-от намерно се презема само во еден од десет обиди.

Истражувачите од Koi Security ја откриле кампањата GhostPoster и идентификувале 17 компромитирани Firefox екстензии кои или го читаат PNG-логото за да го извлечат и извршат loader-от, или директно го преземаат главниот payload од серверот на напаѓачот.

Треба да се напомене дека злонамерните екстензии припаѓаат на популарни категории:

  • free-vpn-forever
  • screenshot-saved-easy
  • weather-best-forecast
  • crxmouse-gesture
  • cache-fast-site-loader
  • freemp3downloader
  • google-translate-right-clicks
  • google-traductor-esp
  • world-wide-vpn
  • dark-reader-for-ff
  • translator-gbbd
  • i-like-weather
  • google-translate-pro-extension
  • 谷歌-翻译
  • libretv-watch-free-videos
  • ad-stop
  • right-click-google-translate

Истражувачите велат дека не сите екстензии ја користат истата верига за вчитување на payload-от, но сите покажуваат исто однесување и комуницираат со истата инфраструктура.

Екстензијата FreeVPN Forever била првата што ја анализирала Koi Security, откако нивната AI алатка ја означила поради обработка на суровите бајтови од сликата-лого, со цел да се пронајде JavaScript фрагмент скриен со техниката стеганографија.

Злонамерна екстензија на Firefox продавницата

JavaScript loader-от се активира по 48 часа за да преземе payload од хардкодирана домена. Достапна е и втора резервна домена доколку payload-от не биде преземен од првата.

Според Koi Security, loader-от е најчесто неактивен и го презема payload-от само во 10% од случаите, што ја зголемува веројатноста да го избегне откривањето од алатките за мониторинг на сообраќајот.

Преземениот payload е силно обфусциран преку менување на големи и мали букви (case swapping) и base64 енкодирање. Потоа, шифра го декодира и го XOR-енкриптира користејќи клуч изведен од runtime ID-то на екстензијата.

Анализа на податоците од логото за злонамерниот коден фрагмент

Крајниот payload има следниве можности:

  • Киднапирање на affiliate линкови на големи е-комерц сајтови, пренасочувајќи комисиите кон напаѓачите.
  • Вбризгување на Google Analytics следење на секоја страница што ја посетува корисникот.
  • Отстранување на безбедносни headers од сите HTTP одговори.
  • Заобиколување на CAPTCHA преку три различни механизми за да се избегнат заштитите против ботови.
  • Вметнување невидливи iframes за измами со реклами, клик-измами и следење, кои се самоуништуваат по 15 секунди.

Иако малициозниот софтвер не краде лозинки и не пренасочува корисници кон phishing страници, сепак претставува закана за приватноста на корисниците.

Понатаму, поради стелт loader-от што го користи GhostPoster, кампањата би можела да стане многу поопасна ако операторот одлучи да имплементира поштетен payload.

Се препорачува корисниците на наведените екстензии да ги отстранат и да размислат за ресетирање на лозинките за критичните акаунти.

Многу од злонамерните екстензии сè уште биле достапни на страницата на Firefox Add-Ons во моментот на пишувањето на текстот. BleepingComputer стапил во контакт со Mozilla, а нивен портпарол споделил следниот коментар:

“Безбедноста на корисниците е нешто што секогаш сме го приоретизирале и го земаме многу сериозно. Нашиот тим за екстензии го истражил овој извештај и како резултат преземавме мерки за отстранување на сите овие екстензии од AMO. Ги ажуриравме нашите автоматизирани системи за да откриваат и блокираат екстензии кои користат слични напади, сега и во иднина. Продолжуваме да ги подобруваме нашите системи како што се појавуваат нови напади.” – Портпарол на Mozilla

Извори:

  • Bleeping Computer – GhostPoster attacks hide malicious JavaScript in Firefox addon logos Bleeping Computer