Sicherheitsforscher haben eine neue Malware-Kampagne namens GhostPoster entdeckt, bei der Schadcode in den Logo-Grafiken von Firefox-Add-ons versteckt wird und so lange unbemerkt bleibt. Betroffen sind mehrere scheinbar nützliche Erweiterungen (z.B. Gratis‑VPNs, Übersetzer, Wetter‑ und Tool‑Add-ons) mit zusammen über 50.000 Installationen.

Wie sich die Malware tarnt

• Der eigentliche Schadcode steckt steganografisch in PNG‑Logos der Erweiterungen; beim Laden liest das Add‑on die Bilddatei aus, sucht nach einem Marker und extrahiert eingebettetes JavaScript, das dann ausgeführt wird.
• Dieser Code fungiert nur als Loader, der verzögert (teils erst nach 48 Stunden, nur bei einem Teil der Aufrufe) weitere, stark verschleierte Schadsoftware von externen Servern nachlädt, um Erkennung zu erschweren.

Was die Malware im Browser macht

• Die nachgeladene Malware erhält weitreichende Rechte im Browser, kann Affiliate‑Links auf großen Plattformen manipulieren, zusätzliche Tracker in besuchte Seiten injizieren und unsichtbare Iframes für Werbe‑ und Klickbetrug laden.
• Zudem entfernt sie Sicherheitsheader (z.B. Content‑Security‑Policy) und setzt Techniken ein, um CAPTCHA‑Abfragen zu umgehen, was weitere Angriffe und Missbrauch erleichtert.

Betroffene Add-ons und Reaktion

• Als Ausgangspunkt nennen Forscher u.a. die Erweiterung „Free VPN Forever“; insgesamt wurden mindestens 17 manipulierte Firefox‑Add-ons mit mehr als 50.000 Installationen identifiziert, darunter VPN‑, Übersetzungs‑, Wetter‑ und Utility‑Erweiterungen.
• Mozilla hat die bekannten Add‑ons inzwischen aus dem Store entfernt und die Prüfmechanismen verschärft, rät Nutzern aber, installierte Erweiterungen zu prüfen, verdächtige Add‑ons zu deinstallieren und vorsorglich wichtige Zugangsdaten zu ändern.

So schützt du dich praktisch

• Im Add‑on‑Manager deines Browsers nur Erweiterungen behalten, die du wirklich brauchst, und besonders kostenlose „Security‑Tools“, VPN‑ und Downloader‑Erweiterungen kritisch prüfen oder besser entfernen.
• Regelmäßig Passwörter wichtiger Konten ändern, Browser aktuell halten und bei ungewöhnlichem Verhalten (Pop‑ups, Weiterleitungen, merkwürdige Werbung) Add‑ons gezielt testweise deaktivieren oder im frischen Profil/anderen Browser gegenprüfen.

Hier findest du weiterführende Informationen: Winfuture