Koi Securityは、アイコンにマルウェアを隠すためにステガノグラフィを利用する一連の拡張機能を介してFirefoxユーザーを標的とする悪意あるキャンペーンを特定した。
これらの拡張機能は無料VPNサービス、広告ブロッカー、翻訳ツール、天気予報アプリを装っているが、実際にはユーザーの活動を監視し、セキュリティ保護を無効化し、リモートコード実行(RCE)を可能にする多段階のペイロードを展開する。
GhostPosterと名付けたこのキャンペーンについてKoiによると、少なくとも17件の同種の拡張機能がブラウザのアドオンマーケットプレイスに公開され、約50,000回インストールされている。
そのうちの1つであるFree VPN Foreverという拡張機能は2025年9月に公開され、16,000回以上インストールされている。
Koiは、この拡張機能がロゴファイルを読み込み、その後、画像の生バイト列から特定のマーカーを探すことを確認した。
拡張機能の開発者はステガノグラフィを用い、そのマーカーの後ろに、リモートのコマンド&コントロール(C&C)サーバーへ到達して暗号化されたペイロードを取得するローダーを隠していた。
検知を回避するため、GhostPosterのFirefox拡張機能は直ちにC&Cへ接続せず、C&C接続が成功した場合でもペイロードを取得するのは10%に限られる。
ローダーは、ユーザー追跡とブラウザ収益化のための包括的なツールキットであるペイロードを復号し、その後再暗号化して永続化のためにブラウザストレージへ保存する。
回避目的として、追加の時間遅延により、マルウェアは拡張機能のインストールから6日以上経過してから有効化されるようになっている。
Koiが発見したところによると、このマルウェアはユーザーのECサイト訪問を監視し、アフィリエイトリンクのクリックを横取りして置き換えることで、元のアフィリエイトではなくマルウェア作者が購入手数料を得られるようにしている。
さらに、このマルウェアは訪問したすべてのページにGoogle Analyticsのトラッキングを注入し、インストール済み拡張機能すべてのデータを収集し、訪問したマーチャントネットワークに関する情報を収集し、特定サイトに要素を注入してユーザーに気付かれないままプロファイリングを行う。
GhostPosterのFirefox拡張機能のユーザーは、マルウェアがHTTPレスポンスからセキュリティヘッダーを削除するため、クリックジャッキングやクロスサイトスクリプティング攻撃にもさらされる。
Koiによると、このマルウェアはWebページに隠しiframeを注入することもでき、悪意ある活動が阻止されないよう複数のCAPTCHA回避手法も備えている。
Koiは、同一の2つのC&Cサーバーに接続して悪意あるペイロードを取得する17件の拡張機能を特定したとしており、配信メカニズムが異なるものもあるが、いずれも同一の脅威アクターに結び付いているとみられる。
「これらの拡張機能は、あなたが訪れるあらゆるサイトでブラウザのセキュリティヘッダーを剥ぎ取ります。あらゆるページにコードを注入します。攻撃者が管理するサーバーへの永続的な接続を維持し、指示を待ちます。ペイロードはいつでも更新可能です。明日あなたのブラウザで何が動くかは、完全に彼ら次第です」とKoiは指摘している。
翻訳元: https://www.securityweek.com/ghostposter-firefox-extensions-hide-malware-in-icons/
