GhostPoster malware found on up to 17 Firefox add-ons

GhostPoster malware has been found on 17 Firefox add-ons. Over 50 thousand victims have already been found.

Modern-day web browsers often have add-On or extension extensions to the browser's functionality, and this is also a weakness because hackers can use web browser extensions to release malware.

According to a report by the website, The Hacker News has mentioned the detection of a GhostPoster malware distribution campaign, a malware that uses JavaScript to take over Affiliate Link and shoot fraudulent fake ads through a fake add-on for the Firefox web browser. This campaign was detected by a research team from Koi Security, a software security management specialist. The research team revealed that these fake add-ons have been downloaded more than 50,000 times. The list of add-ons that are the following:

Free VPN

Screenshot

Weather ()

Mouse Gesture (crxMouse)

Cache - Fast site loader

Free MP3 Downloader

Google Translate ()

Traductor de Google

Global VPN - Free Forever

Dark Reader Dark Mode

Translator - Google Bing Baidu DeepL

Weather (i-like-weather)

Google Translate ()

libretv-watch-free-videos

Ad Stop - Best Ad Blocker

Google Translate ()

After installing the add-on on the victim's web browser, during the activation of the add-on, the logo file of the add-on was pulled down. During the processing of the logo file, the malware code encountered a Marker code with a "= =" symbol, which led to the removal of the JavaScript code. The malware then contacted the server located at "www.liveupdt [.] com" or "www.dealctr [.] com" to pull down the payload from the server. It was omitted for 48 hours per attempt to pull down the payload each round, and to evade it. Detect Payload downloads only 10% at a time.

For the capabilities of this malware is as follows:

The theft took over Affiliate Link from web e-commerce such as Taobao and JD.com to use itself to steal the victim's commission caused by the sale.

Tracking Code to track the victim's web access

Remove security on parts of the Header, such as Content-Security-Policy and X-Frame-Options, to open the way to attack victims with Clickjacking and Cross-site Script methods.

Shoot invisible (Invisible) content into a section of iFrame, opening the way for hackers to shoot fake ads onto victim websites opened via a malware-addicted web browser.

The feature evades Captcha (CAPTCHA bypass) and evades being detected by bots on the website.

1/11 Edited to

จากประสบการณ์การใช้งานเว็บเบราว์เซอร์ Firefox และการติดตั้งส่วนเสริมต่าง ๆ ผมพบว่าแม้ว่าส่วนเสริมจะช่วยเพิ่มความสะดวกและฟีเจอร์ที่หลากหลาย เช่น VPN ฟรีหรือแปลภาษา แต่ก็อาจซ่อนความเสี่ยงด้านความปลอดภัยไว้โดยไม่รู้ตัว มัลแวร์ GhostPoster ที่ถูกค้นพบในส่วนเสริมกว่า 17 ตัว มีรูปแบบการทำงานค่อนข้างซับซ้อน โดยจะฝังโค้ด JavaScript ที่สามารถดึงข้อมูล Affiliate Link ของผู้ใช้ไปใช้เอง รวมทั้งแอบแทรกโฆษณาปลอมลงบนเว็บไซต์ที่เปิดอยู่โดยไม่แสดงให้ผู้ใช้เห็น ทำให้หลายคนอาจโดนขโมยรายได้และถูกโจมตีแบบไม่รู้ตัว ในประสบการณ์ของผม ผมเคยเจอปัญหาเบราว์เซอร์ทำงานช้ากว่าปกติ บางครั้งพบโฆษณาที่ไม่เกี่ยวข้องกับเว็บไซต์ที่กำลังชมอยู่ ซึ่งพบว่ามีสาเหตุมาจากส่วนเสริมที่ติดตั้งไว้และมีโค้ดแอบแฝงที่ไม่ปลอดภัย สำหรับผู้ใช้งาน Firefox ผมแนะนำให้ตรวจสอบแหล่งที่มาของส่วนเสริมที่ติดตั้งอย่างละเอียด ดาวน์โหลดจากแหล่งที่เชื่อถือได้เท่านั้น และควรอัปเดตส่วนเสริมและเบราว์เซอร์อย่างสม่ำเสมอเพื่อป้องกันช่องโหว่จากมัลแวร์ นอกจากนี้ ควรติดตั้งเครื่องมือรักษาความปลอดภัย เช่น โปรแกรมป้องกันไวรัสหรือปลั๊กอินเสริมที่ช่วยตรวจจับมัลแวร์และโฆษณาปลอม และหมั่นตรวจสอบพฤติกรรมของเบราว์เซอร์ เช่น ความผิดปกติในการโหลดหน้าเว็บหรือการเปลี่ยนแปลงในลิงก์ที่คลิก มัลแวร์ GhostPoster ยังมีฟีเจอร์ในการหลบเลี่ยงการตรวจจับ เช่น CAPTCHA bypass และการดาวน์โหลดมัลแวร์หลักในอัตราเพียง 10% เพื่อปกปิดตัวเอง ดังนั้นความตระหนักรู้และการอัปเดตข้อมูลข่าวสารด้านความปลอดภัยเป็นเรื่องสำคัญมาก สุดท้ายนี้ อยากแนะนำว่าเมื่อรู้ว่ามีส่วนเสริมที่มีความเสี่ยง ควรลบออกทันที พร้อมกับสแกนคอมพิวเตอร์หรืออุปกรณ์ด้วยโปรแกรมป้องกันมัลแวร์เพื่อความปลอดภัยอย่างเต็มที่