СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

GhostPoster: вредоносные VPN-расширения Firefox крадут партнёрские комиссии

Новая вредоносная кампания под названием GhostPoster использует кажущееся безобидным расширение браузера — в частности Free VPN Forever — чтобы захватить контроль над браузерами пользователей Firefox и монетизировать их активность без согласия. Механизм атаки сочетает простые социально-инженерные ходы с продвинутыми методами уклонения от обнаружения, включая встроенную стеганографию и обход CAPTCHA.

Как работает заражение

Атака начинается с расширения, которое загружает на машину изображение собственного логотипа. На первый взгляд это обычный файл, но на самом деле в нём скрыт вредоносный загрузчик. После запуска загрузчик связывается с серверами управления (C&C), загружает и расшифровывает основную полезную нагрузку. Для сокрытия передачи злоумышленники используют пользовательскую схему кодирования, что затрудняет обнаружение по сетевым сигнатурам.

Что делает полезная нагрузка

  • Перехват и замена партнёрских ссылок на крупных площадках (например, Taobao и JD.com): когда пользователь переходит по партнерской ссылке, вредоносное ПО перехватывает трафик и перенаправляет комиссии злоумышленникам.
  • Внедрение кода Google Analytics на посещаемые страницы для сбора подробной информации о привычках пользователей и длительности заражения.
  • Удаление заголовков безопасности из HTTP-ответов, что подрывает целостность и безопасность посещаемых сайтов.
  • Встраивание скрытых iframe, загружаемых с контролируемых злоумышленниками доменов, для масштабного мошенничества с рекламой и кликами, при этом пользовательский интерфейс остаётся видимо нормальным.

Методы обхода защит

GhostPoster применяет комплекс методов для обхода обнаружения и антибот-мер

  • Стеганография: полезная нагрузка скрыта в изображениях, что затрудняет анализ сетевого трафика и статическую детекцию.
  • Имитация пользовательских взаимодействий и использование внешних сервисов для распознавания CAPTCHA, чтобы избегать блокировок и ограничений.
  • Многие стандартные защитные заголовки удаляются, что мешает корректной работе механизмов безопасного контента (CSP и т.п.).

Масштаб и инфраструктура

Платформа, лежащая в основе GhostPoster, не уникальна: исследователи обнаружили как минимум 16 других расширений, использующих ту же инфраструктуру C&C. Пострадавшими оказались около 50 000 пользователей, скачавших скомпрометированное программное обеспечение. По состоянию на отчет, скомпрометированное расширение остаётся доступным в каталоге дополнений Firefox.

Ключевая угроза: бесплатные VPN-расширения продолжают становиться удобной мишенью для злоумышленников — они получают широкий доступ к трафику и высоким правам в контексте браузера.

Последствия для пользователей и платформ

  • Потеря комиссионных у легитимных партнёров электронной коммерции;
  • Утечка поведенческих данных через поддельные Google Analytics;
  • Нарушение целостности посещаемых сайтов из‑за удаления заголовков безопасности;
  • Повышенный риск фродовых кликов и мошеннических показов рекламы;
  • Долговременное скрытое присутствие в браузере и потенциальная последующая загрузка дополнительного вредоносного ПО.

Рекомендации для пользователей

  • Немедленно проверьте список установленных расширений в Firefox (about:addons) и удалите Free VPN Forever и любые неизвестные или подозрительные расширения.
  • Сбросьте пароли и проверьте аккаунты партнёрских программ и платёжные реквизиты на предмет подозрительной активности.
  • Очистите кеш и cookies, проверьте расширения на других устройствах, синхронизированных с вашим аккаунтом.
  • Используйте антивирус/EDR и выполните полное сканирование системы; при наличии сомнений — переустановите профиль браузера или сам браузер.
  • Устанавливайте расширения только из доверенных источников, внимательно читайте разрешения и отзывы, не используйте «бесплатные VPN» без репутации.

Рекомендации для разработчиков и платформ

  • Проверять расширения на стеганографию и скрытую загрузку кода в процессе модерации.
  • Ограничивать привилегии расширений принципом наименьших привилегий и ужесточать требования к исходному коду.
  • Отслеживать аномальную активность C&C и блокировать домены/серверы, связанные с кампанией.
  • Информировать пользователей о компрометации и предоставлять инструкции по удалению и восстановлению безопасности.

Вывод

Случай GhostPoster демонстрирует, что расширения браузеров остаются мощным вектором атак: уязвимости и широкие права дают злоумышленникам возможность провести масштабную монетизацию за счёт пользователей и партнёров. Комбинация скрытной доставки, перехвата партнёрских ссылок и активного сбора данных делает такие кампании особенно опасными. Пользователям и платформам необходимо усилить контроль, а также пересмотреть практики модерации и безопасности для предотвращения подобных инцидентов в будущем.

Если вы подозреваете, что стали жертвой GhostPoster или похожей кампании, действуйте быстро: удалите подозрительные расширения, выполните проверку безопасности и при необходимости обратитесь к специалистам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: