Die GhostPoster-Malwarekampagne hat eine neue Methode offengelegt, mit der Angreifer Browser-Erweiterungen missbrauchen, um Nutzer in großem Maßstab zu infizieren. Indem sie schädlichen Code in Symbolen von Firefox-Erweiterungen versteckten, konnten Bedrohungsakteure Zehntausende von Nutzern kompromittieren und dabei traditionelle Sicherheitsprüfungen umgehen.
Was GhostPoster-Malware ist
GhostPoster ist eine heimliche Malwarekampagne, die auf Firefox-Erweiterungen abzielt. Anstatt schädlichen Code in offensichtlichen Skriptdateien zu platzieren, betten die Angreifer JavaScript direkt in PNG-Bilddateien ein, die als Erweiterungssymbole dienen.
Diese Technik ermöglicht es, viele automatisierte Prüf- und Sicherheitsscanner zu umgehen, die sich hauptsächlich auf JavaScript-Quellcode konzentrieren.
Wie der Angriff funktioniert
GhostPoster nutzt Steganografie, um ausführbaren Code in Bilddaten zu verbergen. Wird eine kompromittierte Erweiterung geladen, liest sie ihre eigene Symbol-Datei aus und extrahiert die versteckte Payload.
Anschließend führt die Malware den extrahierten Code in der Browserumgebung aus. Von dort aus kontaktiert sie von Angreifern kontrollierte Server, um weitere Komponenten nachzuladen.
Dieses Vorgehen lässt die Erweiterung bei der Installation harmlos erscheinen, während das schädliche Verhalten erst nach der Bereitstellung aktiviert wird.
Welche Arten von Erweiterungen betroffen waren
Die Angreifer verbreiteten GhostPoster über mehrere Firefox-Erweiterungen, die legitim wirkten. Diese Add-ons gaben sich als gängige Werkzeuge aus, darunter VPN-Dienste, Werbeblocker, Übersetzer und Produktivitätshelfer.
Viele Nutzer installierten die Erweiterungen, da sie nur wenige Berechtigungen verlangten und auf den ersten Blick vertrauenswürdig erschienen.
Was GhostPoster leisten kann
Sobald GhostPoster aktiv ist, verschafft es Angreifern erhebliche Kontrolle über den betroffenen Browser. Die Malware kann:
- Tracking-Skripte in Webseiten einschleusen
- Sicherheitsrelevante HTTP-Header verändern oder entfernen
- Affiliate-Links auf von Angreifern kontrollierte Konten umleiten
- Bei Bedarf weitere schädliche Skripte nachladen
Diese Funktionen ermöglichen es Angreifern, die Infektionen zu monetarisieren und gleichzeitig die Browsersicherheit zu schwächen.
Warum diese Technik besonders gefährlich ist
Die meisten Sicherheitsprüfungen von Erweiterungen konzentrieren sich auf sichtbaren Quellcode. Indem GhostPoster Payloads in Bilddateien versteckt, umgeht es Erkennungsverfahren, die davon ausgehen, dass Bilder keinen ausführbaren Code enthalten.
Die Kampagne zeigt, wie Angreifer weiterhin Schwachstellen im Erweiterungsökosystem finden und das Vertrauen der Nutzer in offizielle Add-on-Marktplätze ausnutzen.
Wie Nutzer das Risiko verringern können
Nutzer können ihre Angriffsfläche reduzieren, indem sie die Anzahl installierter Erweiterungen begrenzen und Werkzeuge entfernen, die sie nicht mehr benötigen. Die regelmäßige Überprüfung von Erweiterungsberechtigungen und der Verzicht auf unnötige Add-ons senken das Risiko deutlich.
Sicherheitsexperten empfehlen zudem, auf ungewöhnliches Browserverhalten zu achten, etwa unerwartete Weiterleitungen oder Veränderungen von Seiteninhalten.
Fazit
Die GhostPoster-Malwarekampagne zeigt, wie Angreifer vertrauenswürdige Firefox-Erweiterungen in verdeckte Infektionsvektoren verwandeln können. Durch das Verstecken schädlichen Codes in Erweiterungssymbolen umgehen Bedrohungsakteure gängige Abwehrmechanismen und kompromittieren Browser ohne offensichtliche Warnsignale. Strengere Prüfprozesse für Erweiterungen und ein vorsichtigeres Nutzerverhalten bleiben entscheidend, um ähnliche Angriffe künftig zu verhindern.
0 Kommentare zu „GhostPoster-Malware missbraucht Firefox-Erweiterungen, um schädlichen Code zu verbergen“