Pesquisadores de segurança da Koi Security identificaram 17 extensões maliciosas do Firefox que estavam implantando backdoors e monitorando o comportamento de navegação dos usuários. A campanha, chamada de "GhostPoster", revelou que algumas dessas extensões utilizavam um método inovador para recuperar códigos maliciosos.

Essas extensões foram baixadas mais de 50.000 vezes e, entre suas funções, estavam o sequestro de links de afiliados, injeção de rastreadores e a ativação de mecanismos de fraude publicitária.

A lista das extensões comprometidas inclui:

• free-vpn-forever
• screenshot-saved-easy
• weather-best-forecast
• crxmouse-gesture
• cache-fast-site-loader
• freemp3downloader
• google-translate-right-clicks
• google-traductor-esp
• world-wide-vpn
• dark-reader-for-ff
• translator-gbbd
• i-like-weather
• google-translate-pro-extension
• 谷歌-翻译
• libretv-watch-free-videos
• ad-stop
• right-click-google-translate

Algumas dessas extensões escondiam códigos JavaScript maliciosos em seus logotipos. Esses códigos orientavam como baixar o payload principal de um servidor remoto, e os atacantes limitaram a entrega desse payload a apenas 10% das vezes, dificultando a detecção.

O payload principal poderia sequestrar links de afiliados em grandes sites de e-commerce, injetar rastreadores do Google Analytics em todas as páginas visitadas, e ainda remover cabeçalhos de segurança das respostas HTTP. Além disso, ele poderia contornar CAPTCHAs e injetar iframes invisíveis, usados para fraudes publicitárias e rastreamento.

Embora o roubo de dinheiro de afiliados e o monitoramento do comportamento do usuário sejam preocupantes, os pesquisadores alertaram que a situação pode se agravar, caso os atacantes decidam coletar senhas ou redirecionar usuários para páginas de phishing.

Após a descoberta, a Mozilla removeu todas as extensões comprometidas de sua loja de complementos. A empresa afirmou: "Nossa equipe de complementos investigou o relatório e, como resultado, tomou medidas para remover todas essas extensões do AMO. Atualizamos nossos sistemas automatizados para detectar e bloquear extensões que utilizam ataques semelhantes agora e no futuro. Continuamos a melhorar nossos sistemas à medida que novos ataques surgem."

Se você estiver utilizando alguma dessas extensões, é aconselhável removê-las imediatamente e proteger suas contas mais importantes.