Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Các cuộc tấn công GhostPoster ẩn mã JavaScript độc hại trong các tiện ích mở rộng Firefox

08:00 | 18/12/2025
Hồng Đạt

Các nhà nghiên cứu đến từ Công ty an ninh mạng Koi Security đang cảnh báo về chiến dịch GhostPoster mới, có khả năng ẩn mã JavaScript trong logo hình ảnh của các tiện ích mở rộng độc hại trên Firefox. Đáng lưu ý, các tiện ích này đã có hơn 50.000 lượt tải xuống, nhằm mục đích theo dõi hoạt động của trình duyệt và cài đặt backdoor.

Phần mềm độc hại cung cấp cho người điều hành quyền truy cập đặc quyền cao và liên tục vào trình duyệt, trong đó script ẩn đóng vai trò như một trình tải (loader) và nhúng payload chính từ máy chủ từ xa. Để quá trình khó bị phát hiện hơn, payload này được gửi một lần trong mười lần thử.

Các nhà nghiên cứu đã xác định 17 tiện ích mở rộng Firefox bị xâm nhập, từ logo PNG chúng có thể trích xuất và thực thi mã độc, hoặc tải xuống payload chính từ máy chủ của kẻ tấn công. Koi Security biết không phải tất cả tiện ích này đều sử dụng cùng một chuỗi payload, nhưng tất cả đều thể hiện cùng một hành vi và giao tiếp với cùng một cơ sở hạ tầng.

Cụ thể, các tiện ích này bao gồm: free-vpn-forever, screenshot-saved-easy, weather-best-forecast, crxmouse-gesture, cache-fast-site-loader, freemp3downloader, google-translate-right-clicks, google-traductor-esp, world-wide-vpn, dark-reader-for-ff, translator-gbbd, i-like-weather, google-translate-pro-extension, 谷歌-翻, libretv-watch-free-videos, ad-stop, right-click-google-translate.

Trong đó, FreeVPN Forever là tiện ích mở rộng mà Koi Security đã phân tích đầu tiên sau khi công cụ AI của họ phát hiện nó đang phân tích các byte dữ liệu thô của tệp hình ảnh logo, nhằm mục đích tìm một đoạn mã JavaScript được giấu bằng kỹ thuật steganography.

Tiện ích mở rộng độc hại trên cửa hàng Firefox

Trình tải JavaScript sẽ được kích hoạt sau 48 giờ để lấy payload từ một tên miền được mã hóa cứng. Bên cạnh đó, một tên miền dự phòng thứ hai sẽ khả dụng nếu payload đó không được gửi từ tên miền đầu tiên.

Theo Koi Security, trình tải này hầu như không hoạt động và chỉ nhận được payload trong 10% thời gian, điều này khiến nó khó bị phát hiện bởi các công cụ giám sát lưu lượng truy cập.

Phân tích dữ liệu logo để tìm đoạn mã độc hại

Payload cuối cùng có các khả năng sau:

- Tấn công chiếm đoạt các liên kết affiliate trên các trang thương mại điện tử lớn, chuyển hướng doanh thu cho kẻ tấn công.

- Tích hợp tính năng theo dõi Google Analytics vào mọi trang người dùng truy cập.

- Loại bỏ các header bảo mật khỏi tất cả các HTTP response.

- Vượt qua CAPTCHA bằng ba cơ chế khác nhau để phá vỡ hệ thống bảo vệ chống bot.

- Chèn các iframe vô hình để giả mạo quảng cáo, các iframe này sẽ tự xóa sau 15 giây.

Mặc dù phần mềm độc hại không thu thập mật khẩu hoặc chuyển hướng nạn nhân đến các trang web lừa đảo, nhưng nó vẫn đe dọa quyền riêng tư của người dùng. Các nhà nghiên cứu khuyến cáo nên gỡ bỏ các tiện ích mở rộng đã được đề cập và cân nhắc đặt lại mật khẩu cho toàn bộ thông tin tài khoản.

Twitter Zalo Facebook YouTube Copy Link QR Code
PAYLOAD ĐỘC HẠI TRÌNH DUYỆT TIỆN ÍCH ĐỘC HẠI STEGANOGRAPHY ẨN MÃ FIREFOX BACKDOOR JAVASCRIPT CHIẾN DỊCH GHOSTPOSTER LOGO TIỆN ÍCH MỞ RỘNG
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết