GhostPoster adlı zararlı yazılım, Mozilla Firefox'u yıktı geçti!

GhostPoster adlı yeni bir malware, Mozilla Firefox tarayıcı eklentilerine ait 17 logo dosyasını kullanarak, bağlı kuruluş bağlantılarını ele geçirmek, izleme kodu eklemek ve tıklama ve reklam sahtekarlığı yapmak üzere tasarlanmış kötü amaçlı JavaScript kodu yerleştirdi.

Eklentiler toplamda 50.000'den fazla kez indirildi. Malware bulaşan bu eklentiler artık kullanılamıyor.

GhostPoster'dan etkilenen Firefox eklentileri

Bu tarayıcı programları VPN, ekran görüntüsü alma aracı, reklam engelleyici ve Google Translate'in gayri resmi sürümleri olarak tanıtıldı. En eski eklenti olan Karanlık Mod, 25 Ekim 2024'te yayınlandı ve tüm web siteleri için karanlık tema etkinleştirme özelliği sunuyordu. Tarayıcı eklentilerinin tam listesi aşağıdadır:

Telegram passkey kulübüne katıldı: Parola desteği geldi

En son güncellemeyle birlikte, Telegram kullanıcıları artık SMS kodu veya şifreye ihtiyaç duymadan hesaplarına anında giriş yapmak için bir parola oluşturabiliyor.

DediCode.NetDidem Bektaş

Ücretsiz VPN
Ekran görüntüsü
Hava Durumu
Fare Hareketi
Önbellek - Hızlı site yükleyici
Ücretsiz MP3 İndirici
Google Translate
Google Çevirmen
Global VPN - Sonsuza Kadar Ücretsiz
Koyu Okuyucu Koyu Mod
Çevirmen - Google Bing Baidu DeepL
Hava Durumu (hava durumunu seviyorum)
Google Translate (google-translate-pro-extension)
İngilizce
libretv-ücretsiz-videoları-izle
Ad Stop - En İyi Reklam Engelleyici
Google Translate (sağ tıklayın-google-translate)

Güvenlik araştırmacıları Lotan Sery ve Noga Gouldman, "Aslında ilettikleri şey, internette gezinirken izlediğiniz her şeyi izleyen, tarayıcınızın güvenlik korumalarını devre dışı bırakan ve uzaktan kod yürütme için bir arka kapı açan çok aşamalı bir kötü amaçlı yazılım yüküdür" dedi.

Saldırı zinciri, yukarıda belirtilen uzantılardan biri yüklendiğinde logo dosyasının alınmasıyla başladı. Kötü amaçlı kod, JavaScript kodunu çıkarmak için "==" işaretini içeren bir işaretçi aramak üzere dosyayı ayrıştırıyor. Bu kod, ana yükü almak için harici bir sunucuya ("www.liveupdt[.]com" veya "www.dealctr[.]com") bağlanan bir yükleyici ve her deneme arasında 48 saat bekliyor.

Burada şunu vurgulamakta fayda var ki, yukarıdaki uzantıların hepsi aynı steganografik saldırı zincirini kullanmıyor, ancak hepsi aynı davranışı sergiliyor ve aynı komuta ve kontrol (C2) altyapısıyla iletişim kuruyor; bu da farklı yemler ve yöntemlerle denemeler yapmış tek bir tehdit aktörünün veya grubun işi olduğunu gösteriyor.

Bu gelişme, Google Chrome ve Microsoft Edge için popüler bir VPN eklentisinin ChatGPT, Claude ve Gemini'den yapay zeka konuşmalarını gizlice toplayıp veri aracılarına sızdırdığı ortaya çıkmasından sadece birkaç gün sonra yaşandı. Ağustos 2025'te ise FreeVPN.One adlı başka bir Chrome eklentisinin ekran görüntüleri, sistem bilgileri ve kullanıcıların konumlarını topladığı gözlemlenmişti.