Uma nova campanha chamada GhostPoster explorou arquivos de logotipo associados a 17 extensões do navegador Mozilla Firefox para embutir código JavaScript malicioso. Esse código é projetado para sequestrar links de afiliados, injetar códigos de rastreamento e cometer fraudes de cliques e anúncios. As extensões, que foram baixadas mais de 50.000 vezes, foram retiradas do ar após a descoberta pela Koi Security. Entre elas, estavam programas que prometiam funcionalidades como VPNs e bloqueadores de anúncios. O ataque se inicia quando o arquivo de logotipo é carregado, permitindo que o código malicioso busque um servidor externo para obter um payload principal. O malware é capaz de realizar diversas atividades fraudulentas, como desviar comissões de afiliados e injetar códigos de rastreamento em páginas visitadas. Além disso, técnicas de evasão foram implementadas para dificultar a detecção, como a ativação do malware apenas após seis dias da instalação. A campanha destaca a vulnerabilidade de extensões de navegador, que podem ser utilizadas para atividades maliciosas, colocando em risco a privacidade e a segurança dos usuários.
Fonte: https://thehackernews.com/2025/12/ghostposter-malware-found-in-17-firefox.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/12/2025 • Risco: ALTO
MALWARE
Campanha GhostPoster usa extensões do Firefox para fraudes publicitárias
RESUMO EXECUTIVO
A campanha GhostPoster representa um risco significativo para a segurança dos usuários do Firefox, com a exploração de extensões que prometem funcionalidades legítimas. A fraude publicitária e a coleta não autorizada de dados são preocupações centrais, exigindo atenção imediata dos CISOs para proteger a integridade e a privacidade dos dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Perdas potenciais devido ao desvio de comissões e à exposição a fraudes.
Operacional
Desvio de comissões de afiliados e injeção de códigos de rastreamento em páginas web.
Setores vulneráveis
['Setores de e-commerce e tecnologia']
📊 INDICADORES CHAVE
Mais de 50.000 downloads das extensões comprometidas.
Indicador
As extensões foram retiradas do ar após a descoberta.
Contexto BR
O malware aguarda 48 horas entre tentativas de conexão com o servidor externo.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se extensões suspeitas estão instaladas em navegadores utilizados pela organização.
2
Remover extensões comprometidas e monitorar atividades de rede para detectar comportamentos anômalos.
3
Monitorar continuamente o tráfego de rede e as atividades dos usuários para identificar possíveis fraudes.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das extensões de navegador, que podem ser vetores de ataque significativos. A fraude publicitária pode impactar a receita e a reputação das empresas.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à coleta e uso de dados pessoais sem consentimento.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
