Netcrook Logo
👤 INTEGRITYFOX
🗓️ 16 Dec 2025  

Stealth nei Pixel: Addon Maligni per Firefox Usano Immagini del Logo per Lanciare lo Spionaggio del Browser

La sofisticata campagna ‘GhostPoster’ nasconde JavaScript nei loghi delle estensioni per dirottare i browser e commettere frodi pubblicitarie.

Quando installi un’estensione per il browser, ti aspetti qualche funzione utile - non una backdoor segreta nascosta nel logo. Ma una nuova campagna cybercriminale, soprannominata “GhostPoster”, sta trasformando innocui addon per Firefox in strumenti occulti di dirottamento del browser e frode digitale, tutto nascondendo codice malevolo proprio nelle immagini pensate per ispirare fiducia.

L’operazione GhostPoster, individuata per la prima volta dai ricercatori di Koi Security, ha svelato un nuovo livello di inganno digitale. Gli aggressori hanno ingegnosamente incorporato codice JavaScript all’interno dei file immagine PNG usati come loghi delle estensioni. Una volta installati, questi addon analizzano silenziosamente i propri loghi per estrarre ed eseguire uno script nascosto - una mossa che non solo elude gli scanner tradizionali di malware, ma sfrutta anche una tecnica nota come steganografia, in cui le informazioni vengono celate all’interno di file apparentemente innocui.

La campagna non si è limitata a strumenti sconosciuti; ha preso di mira categorie ad alto traffico come VPN (“free-vpn-forever”, “world-wide-vpn”), strumenti di traduzione, widget meteo e ad blocker. In totale, sono state individuate almeno 17 estensioni, che insieme hanno raccolto decine di migliaia di download. Il primo campanello d’allarme è suonato quando il sistema AI di Koi Security ha segnalato una sospetta analisi del logo da parte dell’addon “FreeVPN Forever”.

Ecco come funziona l’attacco: dopo un ritardo di 48 ore, il loader JavaScript nascosto tenta di recuperare il payload principale da un server remoto. Ma, per eludere gli strumenti di sicurezza di rete, ci prova solo nel 10% dei casi. Il codice scaricato è pesantemente offuscato - usando tecniche come l’inversione delle maiuscole, la codifica base64 e la cifratura XOR - per ostacolare ulteriormente l’analisi. Una volta attivo, il malware può dirottare i link di affiliazione sui principali siti di e-commerce (reindirizzando le commissioni agli aggressori), iniettare iframe invisibili per la frode pubblicitaria, rimuovere gli header di sicurezza dalle pagine web e tracciare gli utenti inserendo Google Analytics in ogni sito visitato. Integra persino tre diverse tecniche di bypass CAPTCHA per superare le protezioni anti-bot.

Fondamentalmente, il payload di GhostPoster si ferma prima di rubare password o reindirizzare gli utenti a pagine di phishing - per ora. Ma il sofisticato loader potrebbe facilmente consegnare codice più distruttivo in futuro, alzando la posta in gioco sia per gli utenti finali che per i produttori di browser. La minaccia principale oggi è l’invasione della privacy e la frode pubblicitaria su larga scala, ma il payload di domani potrebbe essere molto peggiore.

Con molte delle estensioni malevole ancora disponibili sul marketplace ufficiale di Mozilla Add-Ons al momento della scoperta, la campagna GhostPoster è un campanello d’allarme. Si invita gli utenti a disinstallare qualsiasi addon presente nell’elenco e a considerare il reset delle password per gli account sensibili. Mentre i cybercriminali trovano modi sempre più creativi per violare le nostre difese digitali - persino nascondendosi in bella vista - la vigilanza è più importante che mai.

WIKICROOK

  • Steganografia: La steganografia nasconde messaggi segreti o codice all’interno di file di uso quotidiano, come immagini o audio, rendendo difficile rilevare le informazioni nascoste.
  • Offuscamento: L’offuscamento è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare sia per gli umani che per gli strumenti di sicurezza.
  • Payload: Un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, consegnata tramite email o file malevoli quando la vittima interagisce con essi.
  • Dirottamento di Affiliazioni: Il dirottamento di affiliazioni avviene quando gli aggressori rubano i pagamenti di commissione manipolando i link di affiliazione, reindirizzando i guadagni dall’affiliato legittimo a sé stessi.
  • CAPTCHA: Un CAPTCHA è un test di sicurezza sui siti web che aiuta a distinguere gli umani dai bot, spesso chiedendo agli utenti di risolvere semplici puzzle o identificare immagini.
GhostPoster Firefox addons ad fraud
INTEGRITYFOX INTEGRITYFOX
Data Trust & Manipulation Analyst
← Back to news