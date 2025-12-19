I ricercatori di Koi Security hanno scoperto 17 estensioni per Firefox che installavano malware e permettevano di monitorare la navigazione tramite backdoor. Una di esse, Free VPN Forever, nascondeva il codice infetto dell’icona PNG. Le VPN gratuite sembrano diventate il mezzo preferito dai cybercriminali per gli attacchi informatici.

Attenzione a Free VPN Forever

Free VPN Forever è stata pubblicata sul sito degli add-on di Firefox a settembre 2025. Aveva oltre 16.000 download prima della sua rimozione. GhostPoster è il nome scelto da Koi Security per descrivere le sue “capacità” nascoste. Dopo l’installazione viene mostrata la sua icona nella barra degli strumenti del browser, come altre estensioni.

All’insaputa dell’utente effettuava l’estrazione del codice JavaScript, nascosto nell’immagine PNG sfruttando la tecnica della steganografia. Si tratta di un loader che contattava ogni 48 ore il server remoto, dal quale scaricava i vari pezzi del payload il 10% alla volta per eludere i tool di monitoraggio del traffico. Il codice è cifrato con una chiave derivata dall’identificatore unico dell’estensione.

Le funzionalità scoperte da Koi Security sono cinque. Free VPN Forever intercettava e cambiava i link delle affiliazioni, quindi le commissioni per ogni acquisto venivano inviate ai cybercriminali. Creava inoltre un profilo dell’utente tramite l’iniezione di un tracking ID di Google Analytics.

L’estensione rimuoveva gli header di sicurezza dalle risposte HTTP, consentendo attacchi di clickjacking o cross-site scripting. Veniva anche aggirato il controllo tramite CAPTCHA usando tre diversi meccanismi. Ciò permetteva di iniettare codice nelle pagine web senza attivare la protezione contro i bot.

Infine, l’estensione iniettava iframe invisibili nelle pagine che vengono usati per vari tipi di frode. I ricercatori hanno trovato altri 16 add-on sul marketplace di Mozilla che sfruttano gli stessi server, quindi gli autori sono gli stessi. In alcuni casi veniva iniettato direttamente il codice JavaScript, senza usare la steganografia.

Mozilla ha comunicato che tutte le 17 estensioni sono state rimosse. Gli utenti devono disinstallarle subito, sostituendole con quelli di sviluppatori più affidabili e noti.