Pratite nas preko RSS-aMalver GhostPoster otkriven u 17 Firefox ekstenzija
Vesti, 18.12.2025, 14:00 PM
Istraživači kompanije Koi Security otkrili su novu kampanju pod nazivom GhostPoster, u kojoj su napadači zloupotrebljavali logo fajlove Firefox ekstenzija za skrivanje zlonamernog JavaScript koda.
U kampanji je korišćeno 17 Firefox dodataka, koji su ukupno preuzeti više od 50.000 puta pre nego što su uklonjeni. Ekstenzije su se predstavljale kao VPN alati, dodaci za blokiranje reklama, za snimanje ekrana i vremensku prognozu i nezvanične verzije Google Translate-a.
Najstarija ekstenzija, Dark Mode, objavljena je u oktobru 2024. godine, a nudila je jednostavnu funkciju uključivanja tamne teme na svim sajtovima. Iako su delovale legitimno, sve analizirane ekstenzije isporučivale su malver koji prati aktivnosti korisnika u pregledaču, uklanja bezbednosne zaštite pregledača i otvara zadnja vrata za daljinsko izvršavanje koda.
Napad počinje učitavanjem logo fajla ekstenzije, u kojem je skriven JavaScript kod pomoću steganografije. Malver traži specifičan marker kako bi izdvojio zlonamerni deo, koji zatim preuzima dodatni payload sa eksternih servera pod kontrolom napadača. Kako bi izbegao detekciju, payload se preuzima nasumično, u svega 10% slučajeva, uz vremenska kašnjenja od više dana nakon instalacije.
Preuzeti malver omogućava niz zloupotreba, uključujući otimanje affiliate linkova ka sajtovima za e-trgovinu, ubacivanje Google Analytics koda radi neprimetnog praćenja korisnika, uklanjanje bezbednosnih HTTP zaglavlja, čime se povećava rizik od XSS i clickjacking napada, ubacivanje skrivenih iframe-ova radi oglasa i lažnih klikova, kao i zaobilaženje CAPTCHA zaštita, neophodno da bi se malver prikazivao kao „legitiman korisnik“.
Iako sve ekstenzije nisu koristile identičan steganografski mehanizam, istraživači su potvrdili da sve komuniciraju sa istom C2 infrastrukturom, što ukazuje da iza kampanje stoji isti akter ili organizovana grupa.
Ekstenzije korišćene u ovoj kampanji su Free VPN, Screenshot, Weather (weather-best-forecast), Mouse Gesture (crxMouse), Cache - Fast site loader, Free MP3 Downloader, Google Translate (google-translate-right-clicks), Traductor de Google, Global VPN - Free Forever, Dark Reader Dark Mode, Translator - Google Bing Baidu DeepL, Weather (i-like-weather), Google Translate (google-translate-pro-extension), 谷歌翻译, libretv-watch-free-videos, Ad Stop - Best Ad Blocker i Google Translate (right-click-google-translate).
Ovaj slučaj još jednom pokazuje da čak i naizgled bezazlene ekstenzije mogu predstavljati ozbiljan bezbednosni rizik, naročito kada zloupotrebljavaju poverenje korisnika i mehanizme zvaničnih prodavnica dodataka.
Izdvojeno
Malver GhostPoster otkriven u 17 Firefox ekstenzija
Istraživači kompanije Koi Security otkrili su novu kampanju pod nazivom GhostPoster, u kojoj su napadači zloupotrebljavali logo fajlove Firefox eks... Dalje
Popularne Chrome i Edge ekstenzije potajno prikupljale razgovore sa ChatGPT-om i drugim AI alatima
Popularne ekstenzije za Chrome i Edge potajno su prikupljale razgovore korisnika sa AI četbotovima, a zatim te podatke prosleđivale trećim stranama... Dalje
Lažni ChatGPT Atlas vodi do ClickFix napada i krađe lozinki na macOS-u
Infostealeri, malveri koji kradu lozinke, kolačiće, dokumenta i druge osetljive podatke, postali su najbrže rastuća sajber pretnja u 2025. godini,... Dalje
Lažni Microsoft Teams i Google Meet šire Oyster backdoor
Sajber kriminalci zloupotrebljavaju popularne alate poput Microsoft Teams-a i Google Meet-a kako bi korisnike naveli da preuzmu malver. Prema izvešta... Dalje
Malver u torentu novog filma Leonarda Dikaprija
Istraživači kompanije Bitdefender otkrili su da torent fajl za novi film Leonarda Dikaprija „Jedna bitka za drugom“ (One Battle After An... Dalje
Pratite nas
Nagrade
Prijatelji
