افزونه های مخرب فایرفاکس

حمله بدافزار GhostPoster با استفاده از آیکون‌های PNG، ۵۰۰۰۰ کاربر فایرفاکس را در معرض خطر قرار داده است. افزونه های مخرب فایرفاکس یکی از جدی ترین تهدیدات رو به صعود دنیای امنیت سایبری در این روزها می باشد.

بدافزار «GhostPoster» با سوءاستفاده از آیکون‌های برخی افزونه‌های مرورگر، تقریباً ۵۰۰۰۰ کاربر فایرفاکس را به خطر انداخته است.

در این روش هکرها بدافزارهای خود را درون فایل‌های لوگوی PNG جاسازی می‌کنند و تصاویر به ظاهر بی‌ضرر را به مکانیسم‌های خطرناکی تبدیل می‌کنند تا بتوانند از اسکن امنیتی سیستم فرار کنند.

این کمپین شامل ۱۷ افزونه فایرفاکس مخرب با نصب‌های بیش از ۵۰۰۰۰ کاربر می باشد.

در میان افزونه‌های مخرب نام «Free VPN Forever» به چشم می خورد که از سپتامبر ۲۰۲۵ در بازار افزونه‌های فایرفاکس فعال بوده و بیش از ۱۶۰۰۰ نصب داشته است.

این افزونه در زمان گزارش، در کنار بسیاری از افزونه‌های آلوده دیگر که خود را به عنوان سرویس‌های VPN، ابزارهای ترجمه، پیش‌بینی آب و هوا و مسدودکننده‌های تبلیغات جا می‌زنند، همچنان فعال است و امکان آلوده سازی کاربران را دارد.

هکرها در این حمله از استگانوگرافی استفاده کرده اند. تکنیکی که کد اجرایی را در فایل‌های تصویری پنهان می‌کند بدون اینکه بر ظاهر بصری آنها تأثیر بگذارد.

هنگامی که افزونه‌هایی مانند Free VPN Forever توسط کاربران دانلود می‌شوند، فایل logo.png خود را فرا می خوانند و عملیاتی به ظاهر استاندارد را انجام می دهند که هیچ پرچم امنیتی را در سیستم بالا نمی‌برد و با این روش از سپر امنیتی سیستم فرار می کنند.

سپس افزونه، بایت‌های خام تصویر را برای یک نشانگر خاص متشکل از سه علامت مساوی (===) جستجو می‌کند. هر چیزی که پس از این نشانگر قرار می‌گیرد، داده‌های تصویر نیست، بلکه کد جاوا اسکریپت پنهانی است که منتظر استخراج و اجرا است.

این معماری بدافزار چند مرحله‌ای با بارگذاری لوگو اولیه آغاز می‌شود. کد استخراج شده با سرورهای C2 در liveupdt[.]com یا نسخه پشتیبان dealctr[.]com آن ارتباط برقرار می کنند تا داده ی واقعی فایل را بازیابی کنند.

 

این بدافزار با انتظار ۴۸ ساعته بین ورود به سرور و تنها دریافت بار داده در ۱۰٪ مواقع، تاکتیک‌های پیچیده‌ای برای فرار از حملات نشان می‌دهد که بهترین روش برای دور زدن فایروال ها و سپرهای امنیتی درون سیستم است.

این الگوی رفتاری تصادفی، رصد فعالیت مشکوک توسط محققان امنیتی که ترافیک شبکه را رصد می‌کنند نیز بسیار دشوار می‌کند، زیرا افزونه‌های آلوده ممکن است برای مدت طولانی بی‌صدا عمل کنند و واکنشی از خود نشان ندهند.

هنگامی که بار داده از سرور C&C می‌رسد، تحت رمزگذاری سفارشی قرار می‌گیرد که حروف بزرگ و کوچک را جابجا می‌کند، بیت ۸ و ۹ را رد و جابجا کرده و سپس رمزگشایی Base64 را اعمال می‌کند.

بار داده رمزگشایی شده قبل از ذخیره شدن در حافظه مرورگر، با استفاده از شناسه زمان اجرای منحصر به فرد افزونه، به روش XOR رمزگذاری می‌شود و در سیستم قربانی ماندگار می‌شود.

پس از دانلود نهایی، یک حمله چند وجهی را انجام می‌دهد که بدون اطلاع کاربر، از مرورگرهای آلوده کسب درآمد می‌کند!

این بدافزار لینک‌های وابسته در پلتفرم‌های بزرگ تجارت الکترونیک مانند Taobao و JD.com را رهگیری می‌کند و پرداخت ها را از شرکت‌های قانونی به سمت هکرها هدایت می‌کند.

این بدافزار شناسه Google Analytics (ID: UA-60144933-8) را به هر صفحه بازدید شده تزریق می‌کند و تاریخ نصب، مدت زمان آلودگی، شبکه‌های تجاری بازدید شده و شناسه‌های منحصر به فرد مرورگر را جمع‌آوری می‌کند.

شاید نگران‌کننده‌ترین نکته این باشد که این بدافزار به طور فعال هدرهای امنیتی حیاتی را از پاسخ‌های HTTP حذف می‌کند و محافظت‌های Content-Security-Policy و X-Frame-Options را که در برابر حملات clickjacking و cross-site scripting دفاع می‌کنند، حذف می‌کند.

این افزونه شامل چندین روش دور زدن CAPTCHA است که از پوشش‌های نامرئی برای شبیه‌سازی تعامل کاربر و حل‌کننده‌های خارجی میزبانی شده در refeuficn.github.io استفاده می‌کند.

آی‌فریم‌های پنهان برای عملیات کلاهبرداری تبلیغاتی و کلاهبرداری کلیک به صفحات تزریق می‌شوند و پس از 15 ثانیه ناپدید می‌شوند تا از تشخیص و جرم یابی جلوگیری شود.

افزونه‌های VPN مخرب

GhostPoster جدیدترین نمونه از روند نگران‌کننده‌ی افزونه‌های VPN رایگان است که به بدافزار تبدیل می‌شوند.

 

لازم به ذکر است که افزونه‌های مخرب از دسته‌های محبوب زیر هستند:

1. free-vpn-forever
2. screenshot-saved-easy
3. weather-best-forecast
4. crxmouse-gesture
5. cache-fast-site-loader
6. freemp3downloader
7. google-translate-right-clicks
8. google-traductor-esp
9. world-wide-vpn
10. dark-reader-for-ff
11. translator-gbbd
12. i-like-weather
13. google-translate-pro-extension
14. 谷歌-翻译
15. libretv-watch-free-videos
16. ad-stop
17. right-click-google-translate

اوایل این ماه، افزونه‌ی Urban VPN Proxy که توسط گوگل ارائه شده و ۸ میلیون کاربر داشت، به دلیل جمع‌آوری مکالمات هوش مصنوعی از ChatGPT، Claude و Gemini برای فروش به دلالان داده، افشا شد.

 

به طور مشابه، FreeVPN.One، افزونه‌ی تأیید شده‌ی دیگری با بیش از ۱۰۰۰۰۰ نصب، در حال ضبط مخفیانه‌ی اسکرین‌شات از اطلاعات بانکی، عکس‌های خصوصی و اسناد حساس کاربران شناسایی شد.

کمپین GhostPoster نشان می‌دهد که چگونه مهاجمان از طریق آزمایش، تکنیک‌های خود را اصلاح می‌کنند.

۱۷ افزونه‌ی شناسایی شده از مکانیسم‌های تحویل مختلفی استفاده می‌کنند، برخی از آنها از پنهان‌نگاری PNG استفاده می‌کنند در حالی که برخی دیگر مستقیماً جاوا اسکریپت را دانلود می‌کنند یا از فراخوانی‌های پنهان eval() با دامنه‌های رمزگذاری شده‌ی C&C استفاده می‌کنند.

این نشان می‌دهد که عاملان تهدید در حال آزمایش رویکردهایی هستند که بیشترین زمان شناسایی را دور می‌زنند و حداکثر درآمد را ایجاد می‌کنند.

کاربران باید فوراً افزونه‌های فایرفاکس خود را بررسی کرده و هرگونه افزونه‌ی VPN و ابزار ناآشنا یا اخیراً نصب شده را حذف کنند تا در برابر این تهدید مداوم محافظت شوند.