Source:https://thehackernews.com/2025/12/ghostposter-malware-found-in-17-firefox.html
🛡 概要
GhostPosterと名付けられた新たな不正キャンペーンが、Mozilla Firefox向けの17個の拡張機能(アドオン)に潜伏していたことが判明しました。これらはVPN・スクリーンショット・広告ブロック・Google翻訳の非公式版などを装い、合計で5万回以上ダウンロードされています。アドオンは既にストアから削除済みです。攻撃者はロゴ画像に仕込んだJavaScriptを起点に多段ローダを実行し、アフィリエイトリンクの乗っ取り、トラッキングコードの全面挿入、セキュリティヘッダの除去、不可視iframeの注入によるクリック/広告不正などを行います。CVSSは該当なし(悪性アドオンによる悪用であり、製品側の脆弱性CVEではないため)。
🔍 技術詳細
攻撃チェーンは、拡張機能読み込み時に取得されるロゴファイルから開始します。ロゴ内に「===」マーカーを含むデータが埋め込まれており、アドオン側コードがこれをパースしてJavaScriptローダを抽出・実行。ローダは外部C2(www.liveupdt[.]com または www.dealctr[.]com)へHTTP(S)アクセスし、メインペイロードをダウンロードします。ダウンロード試行は48時間ごと、かつ10%の確率でのみ実施され、さらにインストールから6日以上経過するまで有効化されない時間遅延が設定されるなど、ネットワーク監視やサンドボックス検知を回避する層状の回避策が組み込まれています。
取得されるペイロードは独自エンコードされた包括的ツールキットで、以下の不正を実行します。- アフィリエイトリンク乗っ取り(例:Taobao、JD.com等への遷移時に紹介パラメータを書き換え、正当なアフィリエイターの成果を奪取)- トラッキング注入(訪問する全ページにGoogle Analytics等のトラッキングコードを挿入し、利用者を密かにプロファイリング)- セキュリティヘッダ除去(Content-Security-PolicyやX-Frame-Options等をHTTP応答から除去し、クリックジャッキングやXSSの露出を増大)- 不可視iframeの注入(攻撃者管理のURLを読み込むiframeを隠して挿入し、広告/クリック不正を実施)- CAPTCHA回避(ボット検出をすり抜けるための手法を実装し、不可視操作の継続性を確保)
関与が確認されたアドオン例(抜粋):Free VPN/Screenshot/Weather(weather-best-forecast, i-like-weather)/Mouse Gesture(crxMouse)/Cache – Fast site loader/Free MP3 Downloader/Google Translate(複数の非公式右クリック版・pro版・中国語名含む)/Traductor de Google/Global VPN – Free Forever/Dark Reader Dark Mode/Translator – Google Bing Baidu DeepL/libretv-watch-free-videos/Ad Stop – Best Ad Blocker など。最古の一つである「Dark Mode」は2024-10-25に公開され、全サイトのダークテーマ化を謳っていました。なお、すべてが同一のステガノグラフィ手口を使うわけではないものの、同一C2群と挙動を共有しており、単一のアクター/グループによるバリエーション展開とみられます。
⚠ 影響
企業・個人ともに、ブラウザ内での一貫した改ざんと監視が行われ、- 社員のWeb閲覧行動が第三者へ送信・分析されるプライバシー/コンプライアンスリスク- 社内アフィリエイト/パートナー施策の収益毀損- セキュリティヘッダの除去によるクリックジャッキング/XSSリスク上昇- 隠しiframeによる帯域消費・広告不正への加担・評判リスク- 「リモートコード実行」に相当するブラウザコンテキストでの任意コード実行により、追加ペイロード取得やさらなる横展開の足掛かりとなる危険 などが発生します。
🛠 対策
– 企業ポリシーでFirefoxの拡張機能を許可リスト方式に(Firefox EnterpriseのExtensionSettingsを活用)
– 既存環境のプロファイル検査(%APPDATA%/Mozilla/Firefox/Profiles/<profile>/extensions/ と extensions.json, addonStartup.json.lz4 の整合性確認)
– プロキシ/DNSでのブロック:liveupdt.com, dealctr.com への通信遮断と履歴遡及調査(長期間・低頻度通信を考慮)
– セキュアWebゲートウェイ/プロキシでCSP/X-Frame-Optionsのベースライン監視(突然の欠落や改変を検知)
– EDR/AVでFirefoxプロファイル配下の未知拡張書き換え・新規作成を監視し、疑わしいアドオンを隔離・駆除
– 社内ブラウザの拡張インストール権限を限定し、勝手インストールを防止
– 影響端末のブラウザプロファイルリセットまたはクリーン再構築、保存済み認証情報の変更、SSOトークンの失効
– セキュリティ意識向上:無料VPN/翻訳・広告ブロック拡張のリスクを啓発
📌 SOC視点
– IOC/ネットワーク:SNI/ドメイン照合で liveupdt.com, dealctr.com への断続的(48h周期・10%確率)HTTP(S)通信を相関。ユーザーエージェントは正規Firefox想定のため、端末・プロファイル固有での希少通信として検出。
– HTTPヘッダ監視:主要業務ドメインで突如CSP/X-Frame-Optionsが欠落するパターンを検知(プロキシでのレスポンス比較)。
– ファイル監視:extensions.json の不審な更新、未知IDの追加、署名検証エラー。プロファイル配下の .xpi 追加・更新イベント。
– ブラウザ改ざん兆候:全ページにGA等のトラッキングコードが追加される兆候(セキュリティゲートウェイのHTMLインスペクションやブラウザ保護製品のDOM監視がある場合)。
– ハンチング:長期間の低頻度C2通信を想定し、30~60日のウィンドウでBeaconsを可視化。不可視iframe経由の外向きリクエスト(小容量多数)も併せて解析。
📈 MITRE ATT&CK
– T1176 Browser Extensions(永続化/防御回避):悪性Firefox拡張を導入して常駐し、ページ内容を改ざん。
– T1059.007 JavaScript(実行):ロゴから抽出したJSローダとペイロードをブラウザ内で実行。
– T1027.003 Steganography(防御回避):ロゴ画像内にコードを秘匿し、検知を回避。
– T1204 User Execution(初期アクセス):ユーザーに「VPN/翻訳/広告ブロック」等を装ったアドオンを自発的にインストールさせる。
– T1036 Masquerading(防御回避):正規風の名称・機能を偽装。
– T1071.001 Application Layer Protocol: Web(C2):HTTP(S)で liveupdt/dealctr に接続しペイロード取得。
– T1105 Ingress Tool Transfer(C2/実行):外部から追加コードを段階的に取得。
– T1497.003 Time Based Evasion(防御回避):6日遅延と10%確率での取得によりサンドボックス/監視を回避。
– T1562.001 Impair Defenses(防御妨害):CSPやX-Frame-Optionsを除去しブラウザの防御を低下。
– T1185 Man in the Browser(収集/影響):DOM改ざんでリンク書換・iframe注入・トラッキング挿入を実施。
🏢 組織規模別助言
– 小規模(〜50名):ブラウザ拡張は原則禁止+例外申請で許可。エンドポイントに無料VPN・翻訳拡張のインストールを禁じるローカルポリシーを適用。被疑端末はプロファイル再作成と認証情報の全面リセット。
– 中規模(50〜500名):Firefox Enterpriseポリシーで許可リスト化、プロキシで当該ドメイン遮断、月次でextensions.jsonを収集し脅威ハンチング。クリック不正/帯域異常のメトリクス監視を導入。
– 大規模(500名以上):統合ブラウザ管理(UEM/MDM)で拡張機能制御、SWGでHTML/ヘッダのベースライン検知、EDRのカスタム検知(プロファイル監視+低頻度C2相関)を整備。インシデント対応手順(RS.MI/RS.RP)に「不正拡張駆除」を明記。
🔎 類似事例
– VenomSoftX(ViperSoftX系)ブラウザ拡張マルウェア(クリプト窃取/改ざん)
– Rilide ブラウザ拡張(暗号資産の窃取とセッション乗っ取り)
– Dormant Colors/ABC Soups などの不正Chrome拡張群(2023年に大規模除去)
– FreeVPN.One(Chrome拡張、2025年8月にスクリーンショット・システム情報・位置情報収集が観測)
– 人気VPN拡張(Chrome/Edge)がAIチャット(ChatGPT/Claude/Gemini)会話を収集し外部送信していた事案(2025年)
🧭 次の一手
1) 直ちに liveupdt.com / dealctr.com をブロックし、過去60日の通信有無を確認。2) 全端末のFirefoxプロファイルから不明アドオンを棚卸しし、許可リスト化を実施。3) 影響端末はプロファイル再構築と各種認証情報の更新。4) SOCは低頻度C2とヘッダ改変の検知ルールを追加。CIS Controls(2:資産管理, 4:安全な設定, 7:ブラウザ保護, 8:マルウェア防御, 17:事故対応)およびNIST CSF(ID.AM, PR.AC/PR.PT, DE.CM, RS.MI, RC.IM)に沿って是正とモニタリングを強化してください。
