Die von Koi Security aufgedeckte Kampagne GhostPoster zeigt eindrücklich, wie weit Angreifer inzwischen gehen, um Sicherheitskontrollen im Browser-Ökosystem zu umgehen. Mindestens 17 Firefox-Erweiterungen wurden mit verstecktem JavaScript-Code manipuliert und zusammen mehr als 50.000 Mal installiert. Besonders brisant: Der Schadcode ist nicht im üblichen Quelltext, sondern in den PNG-Logos der Add-ons verborgen und wird erst zur Laufzeit extrahiert.
GhostPoster-Kampagne: Steganographie und versteckter JavaScript-Loader
Kern der Operation ist der Einsatz von Steganographie – also das Verstecken von Informationen in scheinbar harmlosen Dateien. Statt Skripte direkt in Manifest oder Code der Erweiterung zu schreiben, betten die Angreifer einen JavaScript-Fragment in die Rohdaten der PNG-Bilder ein, die als Erweiterungslogo dienen. Für Nutzer und einfache automatische Scans wirkt das Logo vollkommen normal.
Ein im Add-on enthaltener Hilfsskript liest nach der Installation die Rohbytes des Bildes aus, extrahiert den eingebetteten Code und führt ihn im Kontext der Erweiterung aus. Dieser Code fungiert als Loader: Er enthält noch nicht die eigentliche Schadlogik, sondern dient ausschließlich dazu, den finalen Payload von einem entfernten Server nachzuladen.
Verzögerte Aktivierung und reduzierte C2-Kommunikation
Um netzwerkbasierte Erkennungssysteme zu umgehen, ist GhostPoster auf Tarnung und Zeitverzögerung ausgelegt. Nach der Installation bleibt der Loader rund 48 Stunden inaktiv. Dadurch wird die zeitliche Korrelation zwischen Add-on-Installation und auffälligem Netzwerkverkehr verwischt – ein gängiger Ansatz, um sicherheitsanalytische Werkzeuge auszutricksen.
Auch danach verhält sich der Code unauffällig: Der Kontakt zum Command-and-Control-(C2)-Server erfolgt laut Analyse nur bei etwa jedem zehnten möglichen Aufruf. In den übrigen Fällen bleibt der Loader passiv. Dieses Verhalten minimiert die Menge verdächtigen Traffics erheblich. Fällt der primäre C2-Domainname aus, steht zudem ein Ausweich-Server bereit, um die Infrastruktur resilient zu halten.
Mehrstufige Obfuskation und XOR-Verschlüsselung des Payloads
Der von den C2-Servern ausgelieferte Payload ist stark obfuskiert. Die Angreifer kombinieren unter anderem wechselnde Groß-/Kleinschreibung, Base64-Kodierung und weitere Techniken, um die Struktur des Codes unlesbar zu machen. Nach der ersten Dekodierung wird der Inhalt zusätzlich mittels XOR-Verschlüsselung geschützt, wobei der Schlüssel dynamisch aus der Runtime-ID der jeweiligen Erweiterung abgeleitet wird.
Dadurch sieht derselbe Schadcode auf unterschiedlichen Systemen jeweils anders aus. Klassische Signatur-basierte Erkennung und auch viele Formen statischer Analyse werden so deutlich erschwert. Diese Vorgehensweise entspricht modernen Malware-Kampagnen, die gezielt auf das Umgehen von Antiviren-Engines und Analyse-Sandboxes ausgelegt sind.
Risiken bösartiger Firefox-Erweiterungen für Nutzer
Hat GhostPoster einmal den finalen Payload nachgeladen, nutzt dieser die legitimen Schnittstellen von Browser-Erweiterungen. Je nach gewährten Berechtigungen können solche Add-ons Webseiteninhalte lesen und verändern, zusätzlichen JavaScript-Code injizieren, Nutzeraktivitäten verfolgen oder Werbung einblenden beziehungsweise manipulieren.
Der von Koi Security untersuchte GhostPoster-Payload stahl zum Zeitpunkt der Analyse zwar weder Passwörter noch leitete er massiv auf Phishing-Seiten um. Das eigentliche Risiko liegt jedoch im versteckten Loader: Dieser ermöglicht es den Betreibern, jederzeit aggressivere Module nachzuladen – von Credential-Stealern über Spionagekomponenten bis hin zu umfangreichen Adware-Kampagnen. Ähnliche Missbrauchsmuster wurden in der Vergangenheit auch in Ökosystemen anderer Browser wie Chrome oder Edge dokumentiert.
Reaktion von Mozilla und Folgen für das Add-on-Ökosystem
Mozilla hat nach eigenen Angaben alle identifizierten schädlichen Erweiterungen aus dem offiziellen Katalog addons.mozilla.org entfernt und die automatisierten Prüfsysteme angepasst, um vergleichbare Muster künftig schneller zu blockieren. Dazu gehören insbesondere Erkennungslogiken für auffällige Ressourcen, verdächtige Netzwerkkommunikation und untypische Verarbeitungen von Bilddateien.
Der Fall GhostPoster unterstreicht jedoch, dass selbst gründliche Vorabprüfung und Code-Review keine absolute Sicherheit gewährleisten. Techniken wie Steganographie, verzögerte Aktivierung und mehrschichtige Obfuskation sind darauf ausgelegt, sowohl automatische als auch manuelle Kontrollen temporär zu umgehen. Branchenweit führt dies zu einer stärkeren Fokussierung auf feingranulare Berechtigungen, rigorose Update-Kontrollen und verhaltensbasierte Analyse von Erweiterungen während der Laufzeit.
Empfohlene Schutzmaßnahmen für Firefox-Nutzer und Unternehmen
Angesichts zunehmend komplexer Angriffe über Browser-Add-ons sollten Nutzer und Organisationen Erweiterungen wie jede andere Software mit hoher Berechtigungsstufe behandeln. Bewährte Maßnahmen umfassen:
- Installationen auf den offiziellen Store beschränken und keine Add-ons aus inoffiziellen Quellen oder Archiven beziehen.
- Entwickleridentität und Bewertungen prüfen, auf bekannte Anbieter achten und misstrauisch sein bei überdurchschnittlich guten Bewertungen bei wenigen Installationen.
- Anzahl installierter Erweiterungen minimieren, regelmäßig aufräumen und ungenutzte Add-ons konsequent entfernen.
- Berechtigungen kritisch hinterfragen: Fordert ein scheinbar simples Tool Zugriff auf „alle Webseiten“ oder den Browserverlauf ohne erkennbaren Grund, ist Vorsicht angebracht.
- Browser und Erweiterungen aktuell halten, um von Sicherheitsupdates und verbesserten Schutzmechanismen zu profitieren.
- Netzwerk- und Endpoint-Schutzlösungen einsetzen, insbesondere in Unternehmen, wo kompromittierte Browser-Erweiterungen schnell zu Datenabflüssen oder Kontoübernahmen führen können.
GhostPoster macht deutlich, dass Browser-Erweiterungen ein attraktiver Angriffsvektor bleiben – auch wenn sie im Alltag als harmlose Helfer wahrgenommen werden. Wer Firefox oder andere Browser sicher betreiben möchte, sollte Add-ons mit derselben Sorgfalt auswählen wie jede andere Anwendung: Reputation prüfen, Berechtigungen einschränken und den Bestand regelmäßig überprüfen. Ein bewusster, sicherheitsorientierter Umgang mit Erweiterungen ist heute ein zentraler Baustein, um digitale Privatsphäre und Unternehmenswerte wirksam zu schützen.
