Förra månaden forskare vid Koi-säkerhet publicerade en detaljerad analys av ett skadligt Firefox-tillägg som de kallade Spökaffisch – en webbläsarbaserad skadlig kod som utnyttjar en ovanlig och smygande metod för leverans av nyttolast: steganografi i en PNG-ikonfilDenna innovativa metod gjorde det möjligt för skadlig kod att kringgå traditionella säkerhetsgranskningar av tillägg och statiska analysverktyg.
Efter publiceringen identifierade vår undersökning 17 ytterligare tillägg associerade med samma infrastruktur och taktiker, tekniker och procedurer (TTP:er). Tillsammans laddades dessa tillägg ner över 840,000 gånger, med några kvarvarande aktiva i naturen i upp till fem år.
Teknisk översikt: Undvikning i flera steg och leverans av nyttolast
GhostPoster-skadlig programvara använder en infektionskedja i flera steg utformad för smygande och uthållighet:
- NyttolastkodningDen initiala laddaren är inbäddad i binärdata för en tilläggs PNG-ikon.
- KörtidsextraktionVid installationen tolkar tillägget ikonen för att extrahera dold data, ett beteende som avviker från typisk tilläggslogik.
- Fördröjd aktivering: Skadlig programvara försenar körningen av 48 timmar eller mer, och initierar endast C2-kommunikation under specifika förhållanden.
- Hämtning av nyttolastDen extraherade laddaren kontaktar en fjärransluten C2-server för att ladda ner ytterligare JavaScript-baserade nyttolaster.
Efter aktivering kan skadlig programvara:
- Strippa och injicera HTTP-headers att försvaga webbsäkerhetspolicyer (t.ex. CSP, HSTS).
- Kapning av affiliate-trafik för intäktsgenerering.
- Injicera iframes och skript för klickbedrägerier och användarspårning.
- Programmatisk CAPTCHA-lösning och injektion av ytterligare skadliga skript för utökad kontroll.
Dessa egenskaper indikerar att kampanjen inte bara är ekonomiskt motiverad utan också tekniskt mogen, med betoning på operativ smygande och lång livslängd.
Infrastruktur och hotattribution
Infrastrukturen som upptäcktes av Koi Security var kopplad till 17 Firefox-tillägg, som alla delade liknande obfuskeringsmönster, C2-beteende och strategier för fördröjd exekvering. Vårt automatiserade labb för skadlig programvara för tillägg bekräftade att samma hotaktörsinfrastruktur också användes för att distribuera tillägg på Tilläggsbutik för Google Chrome och Microsoft EdgeVår analys visar att kampanjen har sitt ursprung i webbläsaren Microsoft Edge, med senare expansion till Firefox och Chrome.
Figur 1. GhostPoster-uppladdning till webbläsartilläggsbutiker
Viktiga resultat:
- 17 bekräftade förlängningar, med överlappande infrastruktur och vanliga lastmönster.
- Över ytterligare 840 000 kumulativa installationer i webbläsarna Firefox, Chrome och Edge.
- Skadlig närvaro från 2020, vilket indikerar långsiktig operativ framgång och kringgår alla större webbläsarbutikers säkerhetskontroller.
- Varianter som använder alternativa leveransmekanismer, vilket tyder på fortsatt experimenterande och anpassning.
Utökad variantanalys: Bakgrundsskriptbaserad nyttolaststaging
Utöver de tidigare identifierade tilläggen observerade vi en mer sofistikerad och undvikande variant associerad med samma kampanj, vilken ensam stod för 3 822 installationer.
Figur 2. Firefox-tillägget finns att ladda ner i Store.
I den här versionen är den skadliga logiken inbäddad i bakgrundsskriptet och utnyttjar en bildfil som är bunden inuti tillägget som en hemlig nyttolastbehållare. Vid körning hämtar bakgrundsskriptet bilden och skannar dess råa bytesekvens efter avgränsaren. [62,62,62,62] – motsvarande ASCII-strängen '>>>>'All data som följer efter denna markör avkodas som text och lagras permanent i chrome.storage.local under nyckeln instlogo.
Figur 3. Läsa .png-innehåll, avkoda och spara i lokal lagring.
Den lagrade datan hämtas senare, Base64-avkodas och dynamiskt exekveras som en ytterligare JavaScript-nyttolast.
Figur 4. Avkodad .png-nyttolast.
Detta sekundära skript introducerar ytterligare kringgående åtgärder genom att vila i ungefär fem dagar innan nätverksaktivitet initieras. Vid aktivering hämtar det innehåll från en fjärrserver, extraherar serverlevererad data som lagras som Base64-kodade nycklar, och kör det avkodade innehållet, vilket möjliggör kontinuerliga uppdateringar av nyttolasten och utökad kontroll.
Figur 5. Png-nyttolast – läsning från lokal lagring och avkodning av nästa steg.
Detta etappvisa exekveringsflöde visar en tydlig utveckling mot längre vila, modularitet och motståndskraft mot både statiska och beteendemässiga detekteringsmekanismer.
Persistens efter nedtagning
Medan Mozilla och Microsoft har tagit bort de kända skadliga tilläggen från sina respektive butiker, Tillägg som redan är installerade på användarsystem förblir aktiva om inte användaren uttryckligen tar bort det. Denna ihållighet understryker begränsningarna med borttagningar från butiker som en inneslutningsstrategi, särskilt för skadlig kod som använder fördröjd aktivering och modulär leverans av nyttolast.
IOCsen
| ID | Namn | installerar |
| maiackahflfnegibhinjhpbgeoldeklb |
Sidskärmsklippare |
86 |
| kjkhljbbodkfgbfnhjfdchkjacdhmeaf |
Hel sida Skärmdump |
2,000 |
| ielbkcjohpgmjhoiadncabphkglejgih |
Konvertera allt |
17,171 |
| obocpangfamkffjllmcfnieeoacoheda |
Översätt markerad text med Google |
159,645 |
| dhnibdhcanplpdkcljgmfhbipehkgdkk |
Youtube-nedladdning |
11,458 |
| gmciomcaholgmklbfangdjkneihfkddd |
Rssflöde |
2,781 |
| fbobegkkdmmcnmoplkgdmfhdlkjfelnb |
Ads Block Ultimate |
48,078 |
| onlofoccaenllpjmalbnilfacjmcfhfk |
AdBlocker |
10,155 |
| bmmchpeggdipgcobjbkcjiifgjdaodng |
Färgförstärkare |
712 |
| knoibjinlbaolannjalfdjiloaadnknj |
Flytande spelare – PiP-läge |
40,824 |
| jihipmfmicjjpbpmoceapfjmigmemfam |
En nyckelöversättning |
10,785 |
| ajbkmeegjnmaggkhmibgckapjkohajim |
Cool markör |
2,254 |
| fcoongackakfdmiincikmjgkedcgjkdp |
Google Translate med högerklick |
522,398 |
| fmchencccolmmgjmaahfhpglemdcjfll |
Översätt markerad text med högerklick |
283 |
| Amazon-prishistorik |
Amazons prishistorik |
1,197 |
spara-bild-till-Pinterest |
Spara bilden till Pinterest med högerklicka |
6,517 |
instagram-nedladdning |
Instagram-nedladdare |
3,807 |
TTP:er
| Taktik | Teknik |
| Försvarsflykt | LX7.011 (T1036) – Maskerad |
| Försvarsflykt | LX7.003 (T1140) – Kodförvirring/Deförvirring |
| Försvarsflykt | LX7.004 (T1678) – Fördröjning av utförande |
| Försvarsflykt | LX7.005 – Undvik kontroller på serversidan |
| Discovery | LX9.005 (T1217) – Upptäckt av webbläsarinformation |
Rekommendationer
Säkerhetsexperter, företagsskydd och webbläsarutvecklare bör vidta följande åtgärder:
- Granskningstillägg inom hanterade miljöer, särskilt de som är installerade utanför policykontroller.
- Distribuera beteendebaserade tilläggsövervakningstekniker för att upptäcka obehörig nätverksaktivitet eller misstänkt DOM-manipulation.
