Pesquisadores de segurança revelaram uma nova campanha de extensões maliciosas para o Firefox que utilizava um método pouco convencional: esconder código malicioso dentro dos próprios ícones das extensões. A descoberta foi divulgada pela Koi Security e expõe como imagens aparentemente inofensivas podem ser usadas como vetor para ataques mais sofisticados.
Batizada de GhostPoster, a campanha envolveu pelo menos 17 extensões diferentes, que juntas ultrapassaram 50 mil instalações no navegador da Mozilla. Esses complementos se apresentavam como ferramentas legítimas, incluindo VPNs, tradutores e utilitários de produtividade, o que facilitou sua disseminação entre usuários comuns.
Malware escondido em imagens
Um dos casos analisados foi o da extensão Free VPN Forever, publicada em setembro e instalada cerca de 16 mil vezes. Na prática, ela funcionava como prometido, sem levantar suspeitas imediatas. O comportamento malicioso, porém, ficava oculto em segundo plano.
Segundo a Koi Security, a extensão carregava seu ícone normalmente e depois analisava os bytes brutos da imagem em busca de um marcador específico. Dentro do arquivo estavam instruções de um loader, responsável por se conectar a um servidor de comando e controle para baixar uma carga útil criptografada.
Após o download, esse loader descriptografava o conteúdo e ativava ferramentas voltadas ao monitoramento da atividade do navegador. Em seguida, o malware era novamente criptografado e reinstalado, garantindo persistência e dificultando sua detecção por soluções de segurança.
Ativação tardia e coleta de dados
Para contornar mecanismos de proteção, o código malicioso só era ativado cerca de seis dias após a instalação da extensão. Quando em execução, ele monitorava acessos a sites de comércio eletrônico e interceptava cliques em links afiliados, substituindo-os por links próprios para desvio de comissões.
O malware também injetava scripts do Google Analytics para acompanhar a navegação do usuário, identificava outras extensões instaladas no navegador e inseria elementos em sites específicos com o objetivo de criar perfis de uso sem o consentimento do usuário.
Extensões ligadas à campanha GhostPoster
De acordo com a Koi Security, as extensões associadas à campanha incluem:
- Free VPN
- Screenshot
- Weather (weather-best-forecast)
- Mouse Gesture (crxMouse)
- Cache – Fast site loader
- Free MP3 Downloader
- Google Translate (google-translate-right-clicks)
- Traductor de Google
- Global VPN – Free Forever
- Dark Reader Dark Mode
- Translator – Google Bing Baidu DeepL
- Weather (i-like-weather)
- Google Translate (google-translate-pro-extension)
- libretv-watch-free-videos
- Ad Stop – Best Ad Blocker
- Google Translate (right-click-google-translate)
O caso reforça que extensões de navegador, mesmo aquelas com aparência legítima, podem esconder ameaças em elementos inesperados, como ícones. Para reduzir riscos, é recomendável adotar algumas práticas básicas de segurança, como instalar extensões apenas de desenvolvedores confiáveis, desconfiar de complementos que oferecem gratuitamente serviços normalmente pagos e ficar atento a comportamentos estranhos que surgem dias após a instalação ou atualização de extensões.
