TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.

Scoperte 17 estensioni malevole per Firefox che nascondevano codice dannoso direttamente nei file icona PNG. La campagna, battezzata GhostPoster, ha totalizzato oltre 50.000 download prima che Mozilla rimuovesse tutto dallo store.

Le estensioni si spacciavano per strumenti utili: VPN gratuite, tool per screenshot, traduttori di Google, ad blocker e temi dark mode. L’estensione più vecchia risale al 25 ottobre 2024.

Come funziona l’attacco

Il trucco è sofisticato: quando carichi l’estensione, il file icona PNG viene scaricato normalmente. Ma dentro quel PNG c’è del codice JavaScript nascosto dopo un marcatore speciale (===). Il malware lo estrae e lo esegue, contattando server esterni per scaricare il payload completo.

Per non farsi beccare, il sistema è progettato per attivarsi solo nel 10% dei casi e aspetta 48 ore tra un tentativo e l’altro. Inoltre non si attiva fino a 6 giorni dopo l’installazione. Non semplicissimo da individuare, insomma.

Cosa fa sul tuo browser

Una volta attivo, GhostPoster mette in atto diverse strategie per monetizzare:

Link affiliati rubati: intercetta i link verso siti di e-commerce cinesi come Taobao e JD.com, sostituendo i codici affiliato originali con quelli degli attaccanti

Tracking invisibile: inietta il codice di Google Analytics in ogni pagina che visiti, profilando silenziosamente le tue abitudini di navigazione

Header di sicurezza rimossi: elimina protezioni come Content-Security-Policy e X-Frame-Options dalle risposte HTTP, esponendoti a clickjacking e attacchi XSS

Iframe nascosti: inserisce iframe invisibili che caricano URL controllati dagli attaccanti, permettendo frodi pubblicitarie e click fraud

Bypass CAPTCHA: aggira i controlli anti-bot per far sembrare le operazioni del malware come traffico umano legittimo

Le estensioni da evitare

Ecco la lista completa delle estensioni infette (ora rimosse):

• Free VPN
• Screenshot
• Weather (weather-best-forecast)
• Mouse Gesture (crxMouse)
• Cache – Fast site loader
• Free MP3 Downloader
• Google Translate (google-translate-right-clicks)
• Traductor de Google
• Global VPN – Free Forever
• Dark Reader Dark Mode
• Translator – Google Bing Baidu DeepL
• Weather (i-like-weather)
• Google Translate (google-translate-pro-extension)
• 谷歌翻译
• libretv-watch-free-videos
• Ad Stop – Best Ad Blocker
• Google Translate (right-click-google-translate)

Non tutte usano la stessa tecnica steganografica, ma tutte comunicano con la stessa infrastruttura di comando e controllo, segno che dietro c’è un singolo gruppo o attore.

Il problema delle VPN “gratuite”

Non è la prima volta. Di recente un’estensione VPN per Chrome ed Edge è stata beccata a rubare conversazioni da ChatGPT, Claude e Gemini per rivenderle a data broker. Le VPN gratuite spesso non offrono privacy, ma sorveglianza. Se siete interessati a delle VPN serie e che non rivendono i dati consiglio di utilizzare Proton VPN oppure anche Adguard VPN.

Se hai installato una di queste estensioni, rimuovila immediatamente e controlla le impostazioni del browser per verificare che non siano rimaste tracce.