Extensões maliciosas no Firefox usavam logotipos para injetar JavaScript e fraudar anúncios

Uma campanha maliciosa batizada de GhostPoster utilizou arquivos de logotipo de extensões do navegador Mozilla Firefox para inserir código JavaScript malicioso, com o objetivo de sequestrar links de afiliados, injetar rastreadores e realizar fraudes de cliques e publicidade online.

A atividade foi identificada pela empresa de cibersegurança Koi Security, que apontou que 17 extensões foram comprometidas e, juntas, ultrapassaram 50 mil downloads antes de serem removidas da loja oficial do Firefox.

Segundo os pesquisadores, os complementos se passavam por ferramentas legítimas e populares, como VPNs gratuitas, utilitários de captura de tela, bloqueadores de anúncios, aplicativos de previsão do tempo e versões não oficiais do Google Tradutor. O diferencial da campanha foi o uso de arquivos de imagem de logotipo como vetor para ocultar e executar o código malicioso, dificultando a detecção por mecanismos tradicionais de segurança.

A extensão mais antiga identificada, chamada Modo Escuro, foi publicada em 25 de outubro de 2024 e prometia aplicar um tema escuro automaticamente em todos os sites. Outras extensões exploravam descrições atraentes e nomes semelhantes a serviços confiáveis para induzir usuários à instalação.

Entre os complementos afetados estavam:

• VPN gratuita

• Captura de tela

• Previsão do tempo (melhor previsão do tempo)

• Gestos do mouse (crxMouse)

• Cache – Carregamento rápido do site

• Downloader de MP3 gratuito

• Google Translate (google-translate-right-clicks)

• Tradutor do Google

• VPN Global – Grátis para sempre

• Modo Escuro do Leitor

• Tradutor – Google Bing Baidu DeepL

• Clima (eu gosto de clima)

• Google Translate (extensão google-translate-pro)

• 谷歌翻译

• libretv-assistir-vídeos-grátis

• Ad Stop – O melhor bloqueador de anúncios

• Google Tradutor (clique com o botão direito do mouse e selecione Google Tradutor)

De acordo com a Koi Security, o código injetado permitia redirecionar receitas de afiliados, monitorar o comportamento do usuário e gerar cliques fraudulentos em anúncios, beneficiando financeiramente os operadores da campanha.

O caso reforça os riscos associados à instalação de extensões de procedência duvidosa e destaca a necessidade de usuários verificarem cuidadosamente permissões solicitadas, avaliações e o histórico dos desenvolvedores antes de adicionar complementos ao navegador.