一场名为 GhostPoster 的新活动被发现利用 17款 Mozilla Firefox 浏览器扩展程序的 标志文件,嵌入旨在劫持联盟链接、注入追踪代码以及实施点击和广告欺诈的恶意JavaScript代码。
据发现此次活动的 Koi Security 称,这些扩展程序已被累计下载 超过5万次。目前相关插件已不可用。
这些浏览器程序被宣传为VPN、截图工具、广告拦截器以及非官方版本的谷歌翻译等。其中最早上架的扩展程序 Dark Mode 发布于2024年10月25日,声称能为所有网站启用深色主题。受影响的浏览器扩展程序完整列表如下:
- Free VPN
- Screenshot
- Weather (weather-best-forecast)
- Mouse Gesture (crxMouse)
- Cache – Fast site loader
- Free MP3 Downloader
- Google Translate (google-translate-right-clicks)
- Traductor de Google
- Global VPN – Free Forever
- Dark Reader Dark Mode
- Translator – Google Bing Baidu DeepL
- Weather (i-like-weather)
- Google Translate (google-translate-pro-extension)
- 谷歌翻译
- libretv-watch-free-videos
- Ad Stop – Best Ad Blocker
- Google Translate (right-click-google-translate)
安全研究人员 Lotan Sery 和 Noga Gouldman 表示:”它们实际交付的是一个多阶段恶意软件载荷,会监控你浏览的所有内容,剥离浏览器的安全防护,并打开一个用于远程代码执行的后门。“
攻击链始于加载上述任一扩展程序时获取其标志文件。恶意代码会解析该文件,寻找包含”===”标记的特定部分,以提取出JavaScript代码——一个加载器。该加载器会联系外部服务器以获取主载荷,每次尝试之间等待 48小时。
为进一步逃避检测,加载器被设定为仅在 10% 的情况下才去获取载荷。这种随机性是蓄意设计,旨在规避网络流量监控。
获取的主载荷是一个经过自定义编码的全面工具包,能够在受害者不知情的情况下通过四种方式从其浏览器活动中牟利:
- 联盟链接劫持:拦截指向淘宝、京东等电商网站的联盟链接,剥夺合法联盟会员的佣金。
- 追踪代码注入:向受害者访问的每个网页插入谷歌分析追踪代码,默默收集其用户画像。
- 安全标头剥离:从HTTP响应中移除如内容安全策略和X-Frame-Options等安全标头,使用户面临点击劫持和跨站脚本攻击风险。
- 隐藏Iframe注入:向页面注入不可见的iframe,加载攻击者控制服务器上的URL,用于广告和点击欺诈。
- 验证码绕过:采用多种方法绕过验证码挑战,规避机器人检测防护。
研究人员解释道:”为什么恶意软件需要绕过验证码?因为其部分操作(如隐藏iframe注入)会触发机器人检测。恶意软件需要证明自己是’人’才能继续运行。“
除了概率检查,这些扩展程序还采用了基于时间的延迟,确保在安装超过六天后恶意软件才会激活。这些分层规避技术使得发现其幕后活动更加困难。
需要强调的是,并非所有上述扩展程序都使用完全相同的隐写攻击链,但它们都表现出相同的行为,并与相同的命令与控制基础设施通信,这表明这很可能是同一威胁行为者或组织所为,他们尝试了不同的诱饵和方法。
就在几天前,一款流行的适用于谷歌Chrome和微软Edge的VPN扩展程序被发现秘密收集ChatGPT、Claude和Gemini的AI对话,并将其外泄给数据代理商。而在2025年8月,另一款名为FreeVPN.One的Chrome扩展被发现收集屏幕截图、系统信息和用户位置。
“免费VPN承诺隐私,但天下没有免费的午餐,” Koi Security 评论道,”一次又一次,它们带来的是监控。“
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容