Il meccanismo di infezione parte quando l’addon viene caricato e recupera il file logo. All’interno dell’immagine il codice JavaScript malevolo viene estratto cercando un marcatore specifico basato sul segno uguale ripetuto. Da lì parte un loader che contatta server remoti per scaricare il payload principale.

Sono stati osservati domini di comando e controllo come liveupdt com e dealctr com. Per eludere l’analisi del traffico di rete, il loader tenta il download solo in una piccola percentuale dei casi e introduce attese di 48 ore tra un tentativo e l’altro. Inoltre alcune varianti ritardano l’attivazione per più giorni dopo l’installazione, rendendo più complesso collegare il comportamento sospetto all’estensione.

Azioni principali e impatti

Una volta attivo, GhostPoster punta alla monetizzazione e al tracciamento. Tra le azioni principali c’è il dirottamento dei link di affiliazione verso siti ecommerce, sottraendo commissioni ai legittimi affiliati. Il malware può anche iniettare codici di tracking su ogni pagina visitata, creando profili di navigazione senza consenso.

Un aspetto particolarmente critico è la rimozione di header di sicurezza dalle risposte HTTP, come Content Security Policy e X Frame Options, aumentando il rischio di clickjacking e attacchi cross site scripting. In parallelo vengono inseriti iframe invisibili per caricare risorse controllate dagli attaccanti e generare frodi pubblicitarie e click fraud. Per mantenere operative queste attività, GhostPoster include anche tecniche di bypass dei CAPTCHA per superare i sistemi anti bot.

Rischi legati alle estensioni “utili”

Il caso evidenzia un problema ricorrente nella sicurezza browser: estensioni apparentemente utili, soprattutto VPN gratuite, possono trasformarsi in strumenti di sorveglianza e frode, con impatti diretti su privacy e sicurezza della navigazione.