Extensões removidas por Mozilla e Microsoft exploravam falhas na revisão e seguem ativas em computadores já infectados
Malware – Pesquisadores de segurança identificaram 17 extensões maliciosas para navegadores como Firefox, Chrome e Edge, responsáveis por infectar mais de 840 mil usuários. Batizada de GhostPoster, a campanha explorava uma técnica incomum: códigos nocivos eram escondidos dentro de arquivos de imagem usados como ícones das extensões. A falha explorada está diretamente ligada às limitações do processo de revisão adotado pelas plataformas.
No mês passado, a empresa Koi Security divulgou uma análise detalhada sobre uma extensão do Firefox chamada “Free VPN Forever”. Segundo o relatório, toda extensão possui um logotipo que ajuda o usuário a reconhecer o aplicativo em uso, porém, raramente se questiona o que realmente está embutido nesses arquivos visuais.
LEIA: Após investigação do Cade, WhatsApp adia proibição de IA de terceiros no aplicativo
A partir dessa constatação, cibercriminosos recorreram à esteganografia, técnica que consiste em ocultar informações dentro de elementos aparentemente inofensivos. Nesse caso, um código JavaScript malicioso era inserido após os dados de uma imagem PNG. Para o usuário, o ícone parecia normal, mas na prática funcionava como uma porta de entrada para ataques.
Após a divulgação inicial feita pela Koi Security, a empresa LayerX deu continuidade às investigações e constatou que o alcance do problema era bem maior. Ao mapear a infraestrutura associada à extensão, os pesquisadores encontraram outras 17 extensões conectadas aos mesmos servidores e utilizando estratégias operacionais semelhantes.
Somadas, essas extensões ultrapassaram 840 mil instalações. Algumas delas permaneceram ativas nos dispositivos das vítimas por quase cinco anos sem qualquer detecção — um dado alarmante que escancara as fragilidades dos mecanismos atuais de segurança.
VPNs grátis lideram infecções por malware
A campanha não teve início no Firefox. As primeiras atividades foram rastreadas no Microsoft Edge, antes de a operação se expandir gradualmente para Chrome e Firefox, à medida que sua infraestrutura se tornava mais robusta. O ritmo lento e metódico indica uma estratégia focada em longevidade e persistência, e não em ganhos imediatos.
Embora não utilize técnicas inéditas, o GhostPoster combina múltiplas camadas de evasão que dificultam sua identificação. O código malicioso ficava oculto após o marcador “===” dentro do arquivo PNG do logotipo. Ferramentas tradicionais de análise estática, que inspecionam apenas arquivos JavaScript, simplesmente ignoram imagens, uma brecha explorada com precisão.
O código escondido na imagem não correspondia ao malware final. Tratava-se apenas de um “carregador”, um pequeno programa cuja função era buscar o payload real em servidores controlados pelos atacantes. Essa estrutura em múltiplos estágios impede que o malware completo exista como um arquivo fixo dentro da extensão, tornando-o praticamente invisível para análises convencionais.
Malware é programado para enganar
Para aumentar ainda mais a dificuldade de detecção, o malware foi projetado para agir de forma deliberadamente irregular. Ele aguarda 48 horas entre tentativas de contato com o servidor, baixa o payload real em apenas 10% das conexões e só se ativa seis dias após a instalação. Esse comportamento imprevisível confunde sistemas de antivírus e dificulta a correlação de atividades suspeitas.
Quando o payload finalmente é obtido, ele passa por um processo de codificação personalizado: alterna letras maiúsculas e minúsculas, inverte os números 8 e 9, realiza decodificação em Base 64 e aplica criptografia XOR com uma chave exclusiva para cada navegador.
Uma vez em funcionamento, o GhostPoster revela seu objetivo principal: monetizar silenciosamente a navegação dos usuários por diferentes meios.
A extensão monitora acessos a plataformas de e-commerce como Taobao e JD.com. Sempre que o usuário clica em um link de afiliado, o código intercepta a ação e substitui o identificador de comissão. Com isso, o afiliado legítimo deixa de receber o valor da venda, enquanto os operadores do malware ficam com o lucro.
Além disso, o GhostPoster injeta um código de rastreamento do Google Analytics (ID: UA-60144933-8) em todas as páginas visitadas. Também cria elementos HTML invisíveis contendo informações como data de instalação da extensão, tempo de infecção, lojas acessadas e um identificador único do navegador.
O malware ainda remove ativamente cabeçalhos de segurança HTTP das respostas dos sites. Esses cabeçalhos existem para proteger contra ataques como clickjacking e cross-site scripting. Ao eliminá-los, a extensão expõe o usuário a novas ameaças — como se desativasse o sistema de alarme de uma casa.
Para garantir a continuidade de suas ações automatizadas, o GhostPoster incorpora três métodos distintos para burlar desafios CAPTCHA. Em seguida, iframes invisíveis são injetados nas páginas, carregando URLs de servidores dos atacantes. Esses elementos possibilitam fraudes de cliques e rastreamento adicional, desaparecendo após 15 segundos para evitar análises forenses.
GhostPoster tem companhia
O caso não é isolado. Semanas antes da descoberta do GhostPoster, a LayerX já havia denunciado o Urban VPN Proxy, uma extensão do Google com mais de 8 milhões de usuários. Nesse episódio, o foco era a coleta de conversas com inteligências artificiais como ChatGPT, Claude e Gemini, posteriormente vendidas a terceiros.
Antes disso, a FreeVPN.One — outra extensão verificada, com mais de 100 mil instalações — foi flagrada capturando screenshots silenciosos de toda a navegação dos usuários, incluindo acessos a contas bancárias, fotos privadas e documentos sensíveis.
Em resposta às revelações, Mozilla e Microsoft removeram as extensões identificadas de suas lojas oficiais. No entanto, a medida apenas impede novos downloads: as extensões já instaladas continuam operando normalmente nos dispositivos infectados.
(Com informações de Tec Mundo)
(Foto: Reprodução/Freepik/DC Studio)
