Detectamos 17 extensões de VPN maliciosas que afetam 840 mil usuários

Pesquisadores descobriram 17 extensões maliciosas para navegadores como Firefox, Chrome e Edge, que infectaram mais de 840 mil usuários. A campanha, chamada GhostPoster, oculta códigos maliciosos dentro de arquivos de imagem. A vulnerabilidade se encontra no processo de revisão das extensões.

No mês passado, a empresa Koi Security publicou um relatório sobre uma extensão para Firefox, denominada Free VPN Forever. O estudo ressaltou que embora cada extensão possua um logotipo para reconhecimento, raramente consideramos o que está escondido dentro desse arquivo.

Como o GhostPoster oculta malware em extensões

Os cibercriminosos utilizaram uma técnica conhecida como esteganografia, que é a arte de ocultar informações em arquivos aparentemente inocentes. Eles inseriram um código JavaScript malicioso após os dados da imagem PNG, tornando o ícone visualmente normal, mas funcionando como uma entrada para os atacantes.

Após a exposição inicial pela Koi Security, a empresa LayerX investigou e descobriu que o problema era mais abrangente. Ao rastrear a infraestrutura das extensões, identificaram 17 extensões adicionais que usavam os mesmos servidores e táticas.

Essas extensões, coletivamente, foram instaladas mais de 840 mil vezes. Algumas permaneceram ativas nos dispositivos por quase cinco anos passivamente, evidenciando as limitações dos métodos de segurança atuais.

VPNs grátis são os principais alvos de infecções por malware

A campanha não começou no Firefox; suas atividades iniciais foram rastreadas no Microsoft Edge e se expandiram para Chrome e Firefox com o tempo. A expansão gradual sugere uma operação de longo prazo que priorizou a persistência e não lucros imediatos.

Embora o GhostPoster não utilize técnicas revolucionárias, combina diversas camadas de evasão que dificultam sua detecção. O código malicioso estava escondido após o marcador "===" no arquivo PNG do logotipo. Ferramentas de análise estática que examinam códigos JavaScript simplesmente não consideram o conteúdo de arquivos de imagem.

O código adicional não era o malware final, mas um carregador, um programa pequeno cuja função era buscar o payload real em servidores controlados pelos atacantes. Essa estrutura significa que o malware nunca existe como um arquivo estático, tornando-se invisível a análises tradicionais.

Malware apresenta comportamento enganoso

Além disso, o malware foi projetado para ser inconsistente. Ele espera 48 horas entre tentativas de conexão, baixa o payload real apenas 10% das vezes e aguarda 6 dias após a instalação para ser ativado. Essa aleatoriedade dificulta a detecção por sistemas antivírus.

Quando o payload finalmente chega ao servidor, ele é codificado com um esquema único que troca letras maiúsculas e minúsculas, inverte números e criptografa usando uma chave específica para cada navegador.

Uma vez instalado, o GhostPoster se conecta silenciosamente a diversas plataformas e monitoriza a navegação dos usuários, especialmente sites de e-commerce. Ele substitui códigos de comissão de ligações de afiliados, fazendo com que os operadores do malware recebam lucros às custas do afiliado legítimo.

Além disso, o malware injetou um código de rastreamento do Google Analytics em todas as páginas visitadas. Também cria elementos HTML invisíveis com dados de instalação e interações do usuário, enquanto remove cabeçalhos de segurança HTTP de todas as respostas, tornando os usuários suscetíveis a outros ataques.

O malware ainda possui métodos para contornar desafios CAPTCHA, essenciais para evitar a detecção por sistemas de segurança.

A crescente ameaça de extensões maliciosas

O GhostPoster não é um caso isolado. Semanas antes, a LayerX expôs outra extensão, Urban VPN Proxy, que afetou mais de 8 milhões de usuários ao coletar dados de conversas com Inteligências Artificiais. Antes disso, a extensão FreeVPN.One, com mais de 100 mil instalações, também foi descoberta capturando screenshots de informações sensíveis dos usuários.

Após a divulgação dessas informações, Mozilla e Microsoft removeram as extensões identificadas de suas lojas, mas essas foram removidas apenas para novos downloads. Aqueles que já estão instalados continuam operando, indicando que centenas de milhares de usuários podem permanecer desinformados e vulneráveis.

Os efeitos da descoberta dessas extensões maliciosas coloca em evidência a necessidade urgente de processos de revisão mais robustos para proteger os usuários e a integridade das plataformas.