GhostPoster – Firefox AddOn-Logo als Risiko

Am Von In Up2Date

This content is protected against AI scraping.

Wie gefährlich kann ein PNG sein? In Kürze: Sehr!

Die Symbolleiste eines Browsers ist für viele Nutzer ein vertrauter Ort: kleine Icons geben sofort Aufschluss darüber, welche Erweiterungen aktiv sind und welchen Aufgaben sie dienen. Selten wird darüber nachgedacht, was sich hinter diesen winzigen Bildern tatsächlich verbirgt. Genau hier setzt die neue Malware‑Kampagne „GhostPoster“ an.

Das unsichtbare Risiko im Logo

Jede Erweiterung lade ihr eigenes Symbolbild logo.png, um es in der Toolbar anzuzeigen. Beim Durchsuchen der rohen Bilddaten entdeckt das Skript jedoch ein spezielles Marker‑Muster („===“). Alles, was nach diesem Marker folgt, sei kein Bildinhalt mehr, sondern JavaScript‑Code, der verborgen im PNG‑Dateiformat steckt.

Dieses Vorgehen ist ein klassisches Beispiel für Steganographie – das Verstecken von Daten in scheinbar harmlosen Dateien. Sicherheits‑Scanner, die nur den Quellcode der Erweiterung analysieren, übersehen das versteckte Skript, weil es nicht als eigenständige Datei vorliegt.

Der mehrstufige Angriff

  1. Extraktion aus dem Logo – Beim Laden der Erweiterung wird das versteckte JavaScript aus dem Bild extrahiert.
  2. Loader‑Modul – Das extrahierte Skript ist lediglich ein Loader, der alle 48 Stunden versucht, von den Command‑and‑Control‑Servern (C&C) www.liveupdt;com bzw. www.dealctr;com weitere Payloads abzurufen. Nur in etwa 10 % der Fälle werde tatsächlich ein weiteres Paket geladen, um die Erkennung zu erschweren.
    Auch wenn die genannten Domains inzwischen blockiert werden, hindert es Cyberkriminelle nicht, neue *.tld zu verwenden oder/und andere Server aufzusetzen.
  3. Verschlüsselung & Dekodierung – Das heruntergeladene Paket sei zunächst in einer eigens entwickelten Kodierung verschlüsselt (Groß‑/Kleinschreibung tauschen, Ziffern 8↔9, anschließend Base64‑Dekodierung). Danach erfolge eine XOR‑Verschlüsselung mit einem Schlüssel, der aus der eindeutigen Laufzeit‑ID der Erweiterung abgeleitet werde.
  4. Schädliche Nutzlast – Die endgültige Payload führe mehrere schädliche Aktionen aus, darunter:
    • Affiliate‑Link‑Hijacking: Weiterleitungen werden manipuliert, sodass die Angreifer statt legitimer Partner Provisionen erhalten.
    • Tracking‑Injection: Jeder besuchte Webauftritt wird mit einem eigenen Google‑Analytics‑Tag versehen, wodurch detaillierte Nutzungsprofile entstehen.
    • Entfernung von Sicherheits‑Headern: Content‑Security‑Policy und X‑Frame‑Options werden entfernt, wodurch Click‑Jacking‑ und XSS‑Angriffe erleichtert werden.
    • CAPTCHA‑Umgehung: Mehrere Techniken simulieren menschliche Interaktionen oder nutzen externe Solver, um automatisierte Schutzmechanismen zu umgehen.
    • Versteckte Iframes: Unsichtbare Iframes laden Inhalte von Angreifer‑Servern, was zu Klick‑Fraud und zusätzlichem Tracking führt.

Umfang der Kampagne

KOI-Security fand das im September 2025 veröffentlichte AddOn Free VPN Forever. Es sei in über 16 000 Installationen enthalten und zudem nach wie vor im offiziellen Firefox‑Add‑on‑Marktplatz verfügbar. Insgesamt nutzen wohl 17 weitere Firefox‑Erweiterungen dieselbe Infrastruktur. Damit werden mehr als 50 000 Installationen erreicht. verzeichnen. Die infizierten AddOns finden sich in den Bereichen kostenlose VPN‑Dienste, Übersetzungshilfen, Wetter‑Widgets, Werbeblocker. Alle folgen dem gleichen mehrstufigen Angriffsszenario.

Betroffene AddOns (2025-12-16)

  • ad-stop
  • cache-fast-site-loader
  • crxmouse-gesture
  • dark-reader-for-ff
  • freemp3downloader
  • free-vpn-forever
  • google-traductor-esp
  • google-translate-pro-extension
  • google-translate-right-clicks
  • i-like-weather
  • libretv-watch-free-videos
  • right-click-google-translate
  • screenshot-saved-easy
  • translator-gbbd
  • weather-best-forecast
  • world-wide-vpn

 Warum die Bedrohung ernst genommen werden muss

  • Persistente Kontrolle: Durch das Entfernen von CSP‑ und X‑Frame‑Headers werde die gesamte Browser‑Sicherheitsarchitektur untergraben.
  • Schwer erkennbare Aktivität: Die zufällige Aktivierung des Loaders und die zeitverzögerte Payload‑Auslieferung machten Netzwerk‑Monitoring und Verhaltensanalyse deutlich schwieriger.
  • Monetäre Motivation: Affiliate‑Hijacking und Ad‑Fraud generieren direkte Einnahmen für die Angreifer, während die Opfer keinerlei Hinweis auf den Missbrauch erhalten.

Handlungsempfehlungen

  1. Erweiterungen prüfen – Deinstallieren Sie unbekannte oder nicht mehr benötigte Add‑ons, insbesondere solche, die kostenlose VPN‑Funktionen versprechen.
  2. Aktualisierungen beobachten – Achten Sie darauf, dass Ihre Browser‑Version und installierten Erweiterungen stets auf dem neuesten Stand sind.
  3. Netzwerk‑Traffic überwachen – Nutzen Sie, falls möglich, ein Tool zur Überwachung ausgehender Verbindungen, um verdächtige Anfragen an liveupdt;com oder dealctr;com zu erkennen. Beide Domains werden inzwischen blockiert. Das hindert Angreifende aber nicht daran, neue Server aufzusetzen.
  4. Sicherheits‑Header prüfen – Überprüfen Sie mithilfe von Entwickler‑Tools, ob Websites noch die erwarteten Sicherheits‑Header senden.

GhostPoster demonstriert eindrucksvoll, wie scheinbar harmlose Browser‑Erweiterungen zu komplexen, mehrschichtigen Angriffsplattformen ausgebaut werden können. Das Verstecken von Schadcode in einem einfachen PNG‑Logo ist dabei nur der Auftakt einer Kette von Techniken, die gemeinsam die Sicherheit von Zehntausenden Nutzerinnen und Nutzern gefährden.

[https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

zwei × 2 =