Peringatan Ancaman

Kampanye malware baru bernama GhostPoster menyalahgunakan file logo PNG dari 17 ekstensi Mozilla Firefox untuk menyisipkan kode JavaScript berbahaya. Ekstensi-ekstensi ini digunakan untuk membajak link afiliasi, menyuntikkan tracking, serta melakukan click fraud dan ad fraud, dan telah diunduh lebih dari 50.000 kali sebelum akhirnya diturunkan dari marketplace.​

Ekstensi yang Disalahgunakan

Seluruh ekstensi dipromosikan sebagai alat yang tampak bermanfaat, seperti VPN gratis, utilitas screenshot, ad blocker, dan varian tidak resmi Google Translate. Beberapa contoh nama yang terlibat:​

• Free VPN

• Screenshot

• Weather (weather-best-forecast)

• Mouse Gesture (crxMouse)

• Cache - Fast site loader

• Free MP3 Downloader

• Google Translate (google-translate-right-clicks)

• Traductor de Google

• Global VPN - Free Forever

• Dark Reader Dark Mode

• Translator - Google Bing Baidu DeepL

• Weather (i-like-weather)

• Google Translate (google-translate-pro-extension)

• 谷歌翻译

• libretv-watch-free-videos

• Ad Stop - Best Ad Blocker

• Google Translate (right-click-google-translate)

Ekstensi tertua, Dark Mode, sudah ada sejak Oktober 2024, sehingga kampanye ini berjalan cukup lama sebelum terungkap.​

Teknik Serangan: Logo Jadi Pembawa Malware

Peneliti Koi Security menemukan bahwa saat ekstensi dimuat, ia mengambil file logo.png seperti biasa, tetapi kemudian:​

• Memindai isi file untuk mencari penanda ===.

• Semua data setelah penanda tersebut bukan lagi gambar, melainkan JavaScript tersembunyi.

• Kode tersebut diekstrak dan dijalankan sebagai loader.

Loader ini lalu menghubungi server C2:

• www.liveupdt[.]com (utama)

• www.dealctr[.]com (cadangan)

Untuk menghindari deteksi, loader hanya mencoba mengambil payload setiap 48 jam, dan hanya 10% dari percobaan yang benar-benar mengunduh payload. Sisanya sengaja “diam” agar sulit terlihat di monitoring trafik.​

Payload utama dikodekan dengan skema custom (swap huruf besar/kecil, tukar angka 8/9, lalu Base64 + XOR), kemudian disimpan di storage browser dengan key seperti dipLstCd667, dipLstSig667, dan dipLstLd667 untuk persistensi.​

Apa yang Dilakukan Malware di Browser

Setelah aktif, GhostPoster menjadi toolkit monetisasi dan pemantauan browser yang cukup lengkap:​

• Affiliate link hijacking
  Mengintersep link afiliasi ke e-commerce (misalnya Taobao, JD.com) sehingga komisi yang seharusnya diterima affiliate sah malah mengalir ke operator malware.

• Tracking injection
  Menyisipkan Google Analytics ke semua halaman yang dikunjungi dengan ID UA-60144933-8, mengumpulkan data seperti tanggal instalasi, berapa hari sudah terinfeksi, merchant apa saja yang dikunjungi, dan identifier unik browser.

• Security header stripping
  Menghapus header keamanan seperti Content-Security-Policy dan X-Frame-Options dari seluruh respons HTTP, yang membuat pengguna lebih rentan terhadap clickjacking dan XSS.

• Hidden iframe injection & ad/click fraud
  Menyuntikkan iframe tak terlihat yang memuat URL dari server penyerang untuk menjalankan ad fraud, click fraud, dan tracking tambahan. Iframe dibuat, dipakai, lalu dihapus dalam hitungan detik, dengan manipulasi referrer policy agar sulit dilacak.

• CAPTCHA bypass
  Menggunakan beberapa metode untuk melewati CAPTCHA, termasuk overlay tak terlihat, pemanggilan solver eksternal di refeuficn.github.io, dan bahkan memanfaatkan status login Baidu sebagai bukti “manusia”.​

Selain itu, ekstensi juga menerapkan delay aktivasi lebih dari 6 hari setelah instalasi dan logika probabilitas untuk membuat perilaku makin acak dan sulit dianalisis.

Satu Infrastruktur, Berbagai Teknik

Tidak semua dari 17 ekstensi memakai teknik steganografi PNG yang sama, tetapi semuanya:​

• Menunjukkan pola perilaku serupa.

• Berkomunikasi dengan infrastruktur C2 yang sama (liveupdt[.]com, dealctr[.]com, mitarchive[.]info).

Hal ini mengindikasikan bahwa kampanye ini dijalankan oleh satu aktor atau kelompok yang sama, yang sedang bereksperimen dengan berbagai umpan (VPN, cuaca, terjemahan, ad blocker) dan teknik delivery untuk melihat mana yang paling tahan deteksi dan paling menguntungkan.

Tren Berulang: “Free VPN” Jadi Kedok

Kampanye GhostPoster melanjutkan tren buruk ekstensi “free privacy/VPN” yang ternyata justru melakukan surveillance:​

• Sebelumnya, sebuah ekstensi VPN populer di Chrome/Edge ketahuan mencuri percakapan AI dari ChatGPT, Claude, dan Gemini lalu menjualnya ke data broker.

• Ekstensi lain, FreeVPN.One, dilaporkan menangkap screenshot halaman sensitif (rekening bank, foto pribadi, dokumen rahasia), plus info sistem dan lokasi pengguna.

Koi Security menegaskan: “Free VPNs promise privacy, but nothing in life comes free – berulang kali yang diberikan justru pengintaian.”​

Rekomendasi untuk Pengguna dan Organisasi

Untuk pengguna individu:

• Segera hapus ekstensi yang termasuk dalam daftar GhostPoster atau ekstensi “gratis” serupa yang tidak benar‑benar diperlukan.

• Periksa permission: hindari ekstensi yang meminta akses “read and change all your data on all websites”.

• Gunakan solusi VPN dari vendor tepercaya (lebih baik berbayar dengan reputasi jelas).

Untuk organisasi:

• Terapkan kebijakan kontrol ekstensi di browser corporate (allowlist resmi, blokir ekstensi tak dikenal).

• Pantau trafik ke domain C2 terkait (liveupdt[.]com, dealctr[.]com, mitarchive[.]info).

• Edukasi karyawan mengenai risiko ekstensi “VPN gratis”, “translator tidak resmi”, dan add-on utility yang meminta akses berlebihan.

Sumber Referensi

• Koi Security – “Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users”
  https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users​

• The Hacker News – ringkasan kampanye GhostPoster dan daftar 17 ekstensi Firefox yang terlibat.