GhostPoster: icona PNG infetta gli utenti Firefox
Topic
Approfondimenti
Trending
tutti

GhostPoster: icona PNG infetta gli utenti Firefox

L'estensione Free VPN Forever per Firefox (già rimossa da Mozilla) nascondeva codice infetto nella sua icona PNG sfruttando la steganografia.
GhostPoster: icona PNG infetta gli utenti Firefox
Sicurezza
L'estensione Free VPN Forever per Firefox (già rimossa da Mozilla) nascondeva codice infetto nella sua icona PNG sfruttando la steganografia.
Google AI Studio

I ricercatori di Koi Security hanno scoperto 17 estensioni per Firefox che installavano malware e permettevano di monitorare la navigazione tramite backdoor. Una di esse, Free VPN Forever, nascondeva il codice infetto dell’icona PNG. Le VPN gratuite sembrano diventate il mezzo preferito dai cybercriminali per gli attacchi informatici.

Attenzione a Free VPN Forever

Free VPN Forever è stata pubblicata sul sito degli add-on di Firefox a settembre 2025. Aveva oltre 16.000 download prima della sua rimozione. GhostPoster è il nome scelto da Koi Security per descrivere le sue “capacità” nascoste. Dopo l’installazione viene mostrata la sua icona nella barra degli strumenti del browser, come altre estensioni.

All’insaputa dell’utente effettuava l’estrazione del codice JavaScript, nascosto nell’immagine PNG sfruttando la tecnica della steganografia. Si tratta di un loader che contattava ogni 48 ore il server remoto, dal quale scaricava i vari pezzi del payload il 10% alla volta per eludere i tool di monitoraggio del traffico. Il codice è cifrato con una chiave derivata dall’identificatore unico dell’estensione.

Le funzionalità scoperte da Koi Security sono cinque. Free VPN Forever intercettava e cambiava i link delle affiliazioni, quindi le commissioni per ogni acquisto venivano inviate ai cybercriminali. Creava inoltre un profilo dell’utente tramite l’iniezione di un tracking ID di Google Analytics.

L’estensione rimuoveva gli header di sicurezza dalle risposte HTTP, consentendo attacchi di clickjacking o cross-site scripting. Veniva anche aggirato il controllo tramite CAPTCHA usando tre diversi meccanismi. Ciò permetteva di iniettare codice nelle pagine web senza attivare la protezione contro i bot.

Infine, l’estensione iniettava iframe invisibili nelle pagine che vengono usati per vari tipi di frode. I ricercatori hanno trovato altri 16 add-on sul marketplace di Mozilla che sfruttano gli stessi server, quindi gli autori sono gli stessi. In alcuni casi veniva iniettato direttamente il codice JavaScript, senza usare la steganografia.

Mozilla ha comunicato che tutte le 17 estensioni sono state rimosse. Gli utenti devono disinstallarle subito, sostituendole con quelli di sviluppatori più affidabili e noti.

Fonte: Bleeping Computer

Pubblicato il 19 dic 2025

Link copiato negli appunti

Ti potrebbe interessare

TotalAV Antivirus Premium 2026: protezione completa in sconto dell'80%

TotalAV Antivirus Premium 2026: protezione completa in sconto dell'80%
Cyberattacco all'acquedotto: Danimarca accusa la Russia

Cyberattacco all'acquedotto: Danimarca accusa la Russia
SantaStealer: malware di Natale ruba tutti i dati

SantaStealer: malware di Natale ruba tutti i dati
Vacanze di Natale? Parti sicuro con questa VPN (-73%)

Vacanze di Natale? Parti sicuro con questa VPN (-73%)
TotalAV Antivirus Premium 2026: protezione completa in sconto dell'80%

TotalAV Antivirus Premium 2026: protezione completa in sconto dell'80%
Cyberattacco all'acquedotto: Danimarca accusa la Russia

Cyberattacco all'acquedotto: Danimarca accusa la Russia
SantaStealer: malware di Natale ruba tutti i dati

SantaStealer: malware di Natale ruba tutti i dati
Vacanze di Natale? Parti sicuro con questa VPN (-73%)

Vacanze di Natale? Parti sicuro con questa VPN (-73%)
Luca Colantuoni
Pubblicato il
19 dic 2025
Link copiato negli appunti