GhostPoster-malware gevonden in 17 Firefox-add-ons met meer dan 50.000 downloads

Cyberbeveiliging
GhostPoster-malware gevonden in 17 Firefox-add-ons met meer dan 50.000 downloads

Een nieuwe campagne genaamd GhostPoster heeft logobestanden gebruikt die zijn gekoppeld aan 17 Mozilla Firefox-browseradd-ons om kwaadaardige JavaScript-code in te sluiten die is ontworpen om partnerlinks te kapen, trackingcode te injecteren en klik- en advertentiefraude te plegen.

Volgens Koi Security, die de campagne ontdekte, zijn de extensies gezamenlijk ruim 50.000 keer gedownload. De add-ons zijn niet langer beschikbaar.

Deze browserprogramma’s werden geadverteerd als VPN’s, hulpprogramma’s voor schermafbeeldingen, advertentieblokkers en niet-officiële versies van Google Translate. De oudste add-on, Dark Mode, werd op 25 oktober 2024 gepubliceerd en bood de mogelijkheid om een ​​donker thema voor alle websites in te schakelen. De volledige lijst met browser-add-ons vindt u hieronder:

  • Gratis VPN
  • Schermafbeelding
  • Weer (beste weersvoorspelling)
  • Muisgebaar (crxMouse)
  • Cache – Snelle sitelader
  • Gratis mp3-downloader
  • Google Translate (google-vertalen-rechts klikken)
  • Traductor van Google
  • Wereldwijde VPN – voor altijd gratis
  • Donkere lezer Donkere modus
  • Vertaler – Google Bing Baidu DeepL
  • Weer (ik hou van weer)
  • Google Translate (google-translate-pro-extensie)
  • 谷歌翻译
  • libretv-kijk-gratis-video’s
  • Advertentiestop – Beste advertentieblokkering
  • Google Translate (klik met de rechtermuisknop op Google Translate)

“Wat ze feitelijk leveren is een meertraps malware-payload die alles controleert wat je surft, de beveiliging van je browser wegneemt en een achterdeur opent voor het uitvoeren van code op afstand”, aldus beveiligingsonderzoekers Lotan Sery en Noga Gouldman.

De aanvalsketen begint wanneer het logobestand wordt opgehaald wanneer een van de bovengenoemde extensies wordt geladen. De kwaadaardige code parseert het bestand om te zoeken naar een markering met het teken “===” om JavaScript-code te extraheren, een lader die verbinding maakt met een externe server (“www.liveupdt(.)com” of “www.dealctr(.)com”) om de belangrijkste payload op te halen, waarbij tussen elke poging 48 uur wordt gewacht.

Om detectie verder te omzeilen, is de lader geconfigureerd om de lading slechts 10% van de tijd op te halen. Deze willekeur is een bewuste keuze die is geïntroduceerd om pogingen om het netwerkverkeer te monitoren te omzeilen. De opgehaalde payload is een op maat gecodeerde, uitgebreide toolkit die in staat is om op vier verschillende manieren inkomsten te genereren uit browseractiviteiten zonder medeweten van de slachtoffers:

  • Affiliate link-kaping, waarbij affiliate-links naar e-commercesites zoals Taobao of JD.com worden onderschept, waardoor legitieme affiliates hun commissie worden ontnomen
  • Trackinginjectie, waarbij de trackingcode van Google Analytics in elke door het slachtoffer bezochte webpagina wordt ingevoegd, om hem of haar stil te profileren
  • Het strippen van beveiligingsheaders, waarbij beveiligingsheaders zoals Content-Security-Policy en X-Frame-Options uit HTTP-reacties worden verwijderd, waardoor gebruikers worden blootgesteld aan clickjacking en cross-site scripting-aanvallen
  • Verborgen iframe-injectie, die onzichtbare iframes in pagina’s injecteert om URL’s van door aanvallers gecontroleerde servers te laden en advertentie- en klikfraude mogelijk te maken
  • CAPTCHA-bypass, waarbij verschillende methoden worden gebruikt om CAPTCHA-uitdagingen te omzeilen en botdetectiebeveiligingen te omzeilen

“Waarom zou malware CAPTCHA’s moeten omzeilen? Omdat sommige van zijn operaties, zoals de verborgen iframe-injecties, botdetectie activeren”, leggen de onderzoekers uit. “De malware moet bewijzen dat hij ‘menselijk’ is om te kunnen blijven functioneren.”

Naast waarschijnlijkheidscontroles bevatten de add-ons ook op tijd gebaseerde vertragingen die voorkomen dat de malware pas meer dan zes dagen na de installatie wordt geactiveerd. Deze gelaagde ontwijkingstechnieken maken het moeilijker om te detecteren wat er achter de schermen gebeurt.

Het is de moeite waard hier te benadrukken dat niet alle bovenstaande extensies dezelfde steganografische aanvalsketen gebruiken, maar dat ze allemaal hetzelfde gedrag vertonen en communiceren met dezelfde command-and-control (C2)-infrastructuur, wat aangeeft dat dit het werk is van één enkele bedreigingsacteur of -groep die met verschillende lokmiddelen en methoden heeft geëxperimenteerd.

De ontwikkeling komt slechts enkele dagen nadat een populaire VPN-extensie voor Google Chrome en Microsoft Edge werd betrapt op het in het geheim verzamelen van AI-gesprekken van ChatGPT, Claude en Gemini en deze naar datamakelaars exfiltreerde. In augustus 2025 werd waargenomen dat een andere Chrome-extensie genaamd FreeVPN.One screenshots, systeeminformatie en gebruikerslocaties verzamelde.

“Gratis VPN’s beloven privacy, maar niets in het leven is gratis”, aldus Koi Security. “Keer op keer leveren ze in plaats daarvan surveillance.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Beste mobiele statieven Ultieme koopgids

Hoe de AI van Wondershare Filmora V15 het narratieve ritme uitbreidt

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]