Peneliti keamanan dari Koi Security menemukan kampanye baru bernama GhostPoster, yang menyembunyikan kode JavaScript berbahaya di dalam file logo ekstensi Firefox. Teknik ini memungkinkan peretas memantau aktivitas browser pengguna dan menanamkan backdoor dengan akses istimewa.
Cara Kerja GhostPoster
- Steganografi: Kode JavaScript disembunyikan dalam file gambar logo ekstensi (PNG).
- Loader tersembunyi: Script berfungsi sebagai loader untuk mengambil payload utama dari server jarak jauh.
- Evasion: Payload hanya diunduh sekali dari sepuluh percobaan, membuatnya sulit dideteksi oleh sistem monitoring.
- Aktivasi tertunda: Loader aktif 48 jam setelah instalasi, lalu mencoba menghubungi domain hardcoded (dengan cadangan domain kedua).
Ekstensi yang Terinfeksi
Sebanyak 17 ekstensi populer dengan lebih dari 50.000 unduhan teridentifikasi, di antaranya:
- free-vpn-forever
- screenshot-saved-easy
- weather-best-forecast
- crxmouse-gesture
- cache-fast-site-loader
- freemp3downloader
- google-translate-right-clicks
- world-wide-vpn
- dark-reader-for-ff
- translator-gbbd
- ad-stop
- right-click-google-translate
Tidak semua ekstensi menggunakan rantai pemuatan payload yang sama, tetapi semuanya berkomunikasi dengan infrastruktur yang identik.
Kapabilitas Payload
Payload yang diunduh memiliki kemampuan berbahaya, termasuk:
- Mengambil alih tautan afiliasi di situs e-commerce besar.
- Menyuntikkan Google Analytics tracking ke setiap halaman yang dikunjungi.
- Menghapus header keamanan dari semua respons HTTP.
- Melewati CAPTCHA dengan tiga mekanisme berbeda.
- Menyuntikkan iframe tak terlihat untuk ad fraud dan click fraud, yang otomatis menghapus diri setelah 15 detik.
Walau tidak mencuri kata sandi atau mengarahkan ke situs phishing, malware ini tetap mengancam privasi pengguna dan berpotensi berkembang lebih berbahaya jika operator mengganti payload.
Rekomendasi untuk Pengguna
- Segera hapus ekstensi yang tercantum dari browser.
- Reset password untuk akun penting.
- Pantau aktivitas browser dan akun online untuk tanda-tanda penyalahgunaan.
Mozilla belum memberikan komentar resmi, dan beberapa ekstensi berbahaya masih tersedia di halaman Firefox Add-Ons saat laporan ini ditulis.