Исследователи Лотан Сери и Нога Гулдман из компании Koi Security раскрыли масштабную вредоносную кампанию под названием GhostPoster, нацеленную на браузер Mozilla Firefox. Вредоносное программное обеспечение распространялось через 17 различных расширений, которые в общей сложности были скачаны более 50 000 раз. На данный момент все опасные надстройки удалены из магазина приложений, однако масштаб инцидента и сложность использованных техник вызывают серьезные опасения у экспертов по кибербезопасности.
Атака осуществлялась через программы, маскирующиеся под популярные утилиты: VPN-сервисы, инструменты для создания скриншотов, блокировщики рекламы и неофициальные переводчики Google Translate. Старейшим из обнаруженных вредоносных расширений оказалось дополнение «Dark Mode», опубликованное 25 октября 2024 года, которое предлагало пользователям включение темных тем на веб-сайтах. За безобидным функционалом скрывался многоступенчатый набор инструментов для кражи данных и мошенничества.
Полный список инфицированных надстроек включает 17 наименований, которые пользователям необходимо немедленно удалить при обнаружении. В перечень вошли: Free VPN, Screenshot, Weather (weather-best-forecast), Mouse Gesture (crxMouse), Cache – Fast site loader, Free MP3 Downloader, Google Translate (google-translate-right-clicks) и Traductor de Google. Также в списке фигурируют Global VPN – Free Forever, Dark Reader Dark Mode, Translator – Google Bing Baidu DeepL, Weather (i-like-weather), Google Translate (google-translate-pro-extension), 谷歌翻译 (Google Translate), libretv-watch-free-videos, Ad Stop – Best Ad Blocker и Google Translate (right-click-google-translate).
Техническая реализация GhostPoster отличается высокой степенью скрытности благодаря использованию стеганографии. Вредоносный JavaScript-код был внедрен непосредственно в файлы логотипов расширений. При загрузке дополнения система извлекала логотип, сканировала его на наличие специального маркера «===», извлекала скрытый загрузчик и инициировала связь с внешними командными серверами (C2). В качестве доменов управления использовались адреса
Разработчики вредоносного ПО применили продвинутые методы уклонения от обнаружения. Активация вредоносной активности происходила с задержкой более 6 дней после установки расширения. Для снижения заметности сетевого трафика программа связывалась с сервером только раз в 48 часов, причем загрузка полезной нагрузки осуществлялась лишь в 10% случаев. Дополнительно алгоритмы имитировали поведение реального человека, чтобы обойти автоматические системы защиты.
Основной функционал GhostPoster был направлен на монетизацию через подмену партнерских ссылок (affiliate link hijacking), кликфрод и мошенничество с рекламой. Инструментарий включал четыре способа незаконного заработка, в частности, атаку на пользователей платформ электронной коммерции Taobao и JD. Помимо финансового мошенничества, зловред мог отключать защиту браузера, внедрять код отслеживания и даже открывать бэкдор для удаленного выполнения кода (RCE), что ставило под угрозу всю систему жертвы.
Анализ угрозы указывает на то, что за кампанией, вероятно, стоит один злоумышленник или группировка. Это подтверждается тем, что все расширения использовали единую инфраструктуру C2 и демонстрировали идентичные поведенческие паттерны, даже если метод стеганографии применялся не во всех случаях.
Данный инцидент является частью более широкого тренда использования браузерных расширений для кибератак. Текст исследования связывает GhostPoster с недавними случаями, когда популярные VPN-расширения для Google Chrome и Microsoft Edge собирали данные из диалогов с искусственным интеллектом, включая ChatGPT, Claude и Gemini, для последующей передачи брокерам данных.
Также упоминается инцидент, датированный августом 2025 года, связанный с расширением для Chrome под названием . Эта программа была замечена в сборе скриншотов, системной информации и данных о местоположении пользователей. Ситуация с GhostPoster лишний раз подтверждает тезис представителей Koi Security: «Бесплатные VPN обещают конфиденциальность, но в жизни ничего не бывает бесплатно. Снова и снова они обеспечивают слежку вместо защиты».
Изображение носит иллюстративный характер
Атака осуществлялась через программы, маскирующиеся под популярные утилиты: VPN-сервисы, инструменты для создания скриншотов, блокировщики рекламы и неофициальные переводчики Google Translate. Старейшим из обнаруженных вредоносных расширений оказалось дополнение «Dark Mode», опубликованное 25 октября 2024 года, которое предлагало пользователям включение темных тем на веб-сайтах. За безобидным функционалом скрывался многоступенчатый набор инструментов для кражи данных и мошенничества.
Полный список инфицированных надстроек включает 17 наименований, которые пользователям необходимо немедленно удалить при обнаружении. В перечень вошли: Free VPN, Screenshot, Weather (weather-best-forecast), Mouse Gesture (crxMouse), Cache – Fast site loader, Free MP3 Downloader, Google Translate (google-translate-right-clicks) и Traductor de Google. Также в списке фигурируют Global VPN – Free Forever, Dark Reader Dark Mode, Translator – Google Bing Baidu DeepL, Weather (i-like-weather), Google Translate (google-translate-pro-extension), 谷歌翻译 (Google Translate), libretv-watch-free-videos, Ad Stop – Best Ad Blocker и Google Translate (right-click-google-translate).
Техническая реализация GhostPoster отличается высокой степенью скрытности благодаря использованию стеганографии. Вредоносный JavaScript-код был внедрен непосредственно в файлы логотипов расширений. При загрузке дополнения система извлекала логотип, сканировала его на наличие специального маркера «===», извлекала скрытый загрузчик и инициировала связь с внешними командными серверами (C2). В качестве доменов управления использовались адреса
www.liveupdt[.]com и www.dealctr[.]com. Разработчики вредоносного ПО применили продвинутые методы уклонения от обнаружения. Активация вредоносной активности происходила с задержкой более 6 дней после установки расширения. Для снижения заметности сетевого трафика программа связывалась с сервером только раз в 48 часов, причем загрузка полезной нагрузки осуществлялась лишь в 10% случаев. Дополнительно алгоритмы имитировали поведение реального человека, чтобы обойти автоматические системы защиты.
Основной функционал GhostPoster был направлен на монетизацию через подмену партнерских ссылок (affiliate link hijacking), кликфрод и мошенничество с рекламой. Инструментарий включал четыре способа незаконного заработка, в частности, атаку на пользователей платформ электронной коммерции Taobao и JD. Помимо финансового мошенничества, зловред мог отключать защиту браузера, внедрять код отслеживания и даже открывать бэкдор для удаленного выполнения кода (RCE), что ставило под угрозу всю систему жертвы.
Анализ угрозы указывает на то, что за кампанией, вероятно, стоит один злоумышленник или группировка. Это подтверждается тем, что все расширения использовали единую инфраструктуру C2 и демонстрировали идентичные поведенческие паттерны, даже если метод стеганографии применялся не во всех случаях.
Данный инцидент является частью более широкого тренда использования браузерных расширений для кибератак. Текст исследования связывает GhostPoster с недавними случаями, когда популярные VPN-расширения для Google Chrome и Microsoft Edge собирали данные из диалогов с искусственным интеллектом, включая ChatGPT, Claude и Gemini, для последующей передачи брокерам данных.
Также упоминается инцидент, датированный августом 2025 года, связанный с расширением для Chrome под названием . Эта программа была замечена в сборе скриншотов, системной информации и данных о местоположении пользователей. Ситуация с GhostPoster лишний раз подтверждает тезис представителей Koi Security: «Бесплатные VPN обещают конфиденциальность, но в жизни ничего не бывает бесплатно. Снова и снова они обеспечивают слежку вместо защиты».
