کمیته رکن چهارم – بررسیهای امنیتی نشان میدهد که ۱۷ افزونه مرورگر فایرفاکس با بیش از ۵۰٬۰۰۰ بار دانلود، آلوده به بدافزاری با عنوان GhostPoster بودهاند. این افزونهها با ظاهر برنامههایی مانند VPN، ابزار اسکرینشات، مترجم گوگل و مسدودکننده تبلیغات عرضه شدهاند.
به گزارش کمیته رکن چهارم، کدهای مخرب در قالب فایلهای تصویری لوگو در این افزونهها جاسازی شده بودند. با بارگذاری افزونه، فایل لوگو حاوی نشانهای خاص برای استخراج کد جاوااسکریپت عمل کرده و با سرورهای خارجی تماس برقرار میکرد تا کد اصلی بدافزار را دریافت کند. این فرآیند بهصورت تصادفی در تنها ۱۰ درصد مواقع انجام میشد تا از شناسایی توسط ابزارهای امنیتی جلوگیری شود.
عملکرد این بدافزار شامل ربایش لینکهای همکاری در فروش، تزریق کدهای ردیابی مانند Google Analytics، حذف سربرگهای امنیتی مرورگر و افزودن iframeهای پنهان به صفحات وب برای انجام کلاهبرداری کلیکی بود. همچنین با استفاده از تکنیکهایی، موفق به عبور از سیستمهای CAPTCHA میشد.
پژوهشگران همچنین کشف کردند که این افزونهها تا چند روز پس از نصب هیچ فعالیتی نداشتند تا تحلیلهای امنیتی را دشوار کنند. تمامی افزونهها به یک زیرساخت فرماندهی یکسان متصل بودهاند که احتمالاً توسط یک عامل تهدید واحد مدیریت میشود.
این اتفاق در حالی رخ میدهد که اخیراً چندین افزونه در مرورگرهای دیگر نیز به سرقت اطلاعات کاربران متهم شدهاند. گزارشها نشان میدهد که حتی افزونههای با ظاهر مفید مانند VPNهای رایگان نیز میتوانند ابزاری برای نظارت گسترده و سرقت اطلاعات کاربران باشند.
