GhostPoster Malware Found in 17 Firefox Add-ons with 50,000+ Downloads
Mis à jour :
GhostPoster : Des extensions Firefox infectées détournent les liens et monétisent l’activité des utilisateurs
Une campagne de malwares, nommée GhostPoster, a compromis 17 extensions Firefox totalisant plus de 50 000 téléchargements. Ces extensions, déguisées en VPN, utilitaires de capture d’écran, bloqueurs de publicité ou traducteurs, ont été retirées du magasin d’extensions. Elles diffusent un code JavaScript malveillant dissimulé dans des fichiers d’icônes.
Fonctionnement et actions malveillantes :
Une fois l’extension activée, le code malveillant extrait et exécute un script JavaScript qui communique avec des serveurs de commande et de contrôle (C2) pour récupérer la charge utile principale. Des techniques d’évasion avancées, telles que des retards d’activation de plusieurs jours, des exécutions aléatoires de la charge utile et des contournements de CAPTCHA, sont utilisées pour échapper à la détection.
La charge utile monétise l’activité de navigation des utilisateurs de quatre manières :
- Détournement de liens d’affiliation : Interception des liens vers des sites e-commerce pour détourner les commissions.
- Injection de code de suivi : Ajout du code de suivi Google Analytics pour profiler silencieusement les utilisateurs.
- Suppression d’en-têtes de sécurité : Suppression des en-têtes comme
Content-Security-PolicyetX-Frame-Options, exposant les utilisateurs aux attaques de clickjacking et de XSS. - Injection de iframes cachés : Insertion d’iframes invisibles pour charger des URL contrôlées par les attaquants, facilitant la fraude publicitaire et par clics.
Points clés :
- 17 extensions Firefox affectées, cumulativement téléchargées plus de 50 000 fois.
- Les extensions utilisaient des fichiers d’icônes pour dissimuler le code malveillant.
- Les fonctionnalités du malware incluent le détournement de liens, le suivi, la suppression de sécurité et la fraude publicitaire.
- Des techniques d’évasion sophistiquées sont utilisées pour échapper à la détection.
- Indique une campagne unique menée par un acteur de menace unique ou un groupe.
Vulnérabilités :
L’article ne mentionne pas de CVE spécifiques, mais la vulnérabilité réside dans la manière dont les extensions étaient développées et distribuées, permettant l’injection de code malveillant via des fichiers d’icônes et l’absence de vérifications de sécurité adéquates par le magasin d’extensions. La suppression des en-têtes de sécurité (Content-Security-Policy, X-Frame-Options) expose directement les utilisateurs à des attaques de type clickjacking et XSS.
Recommandations :
- Désinstaller immédiatement toute extension Firefox suspecte ou non essentielle.
- Être vigilant quant aux extensions proposant des fonctionnalités gratuites, surtout les VPN, car elles peuvent cacher des intentions malveillantes.
- Vérifier attentivement les autorisations demandées par les extensions avant de les installer.
- Se fier aux extensions provenant de développeurs réputés et avec un grand nombre d’utilisateurs satisfaits.
- Maintenir son navigateur et ses extensions à jour, car les mises à jour incluent souvent des correctifs de sécurité.