Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias GhostPoster: 17 extensiones maliciosas infectan Chrome, Firefox y Edge

GhostPoster: 17 extensiones maliciosas infectan Chrome, Firefox y Edge

por Dragora

La amenaza que representa el malware distribuido mediante extensiones de navegador continúa creciendo, y la campaña conocida como GhostPoster es una prueba clara de ello. Investigadores en ciberseguridad han identificado otro conjunto de 17 extensiones maliciosas vinculadas a esta operación, las cuales llegaron a acumular más de 840.000 instalaciones en las tiendas oficiales de Google Chrome, Mozilla Firefox y Microsoft Edge.

La campaña GhostPoster fue documentada por primera vez en diciembre por investigadores de Koi Security, quienes revelaron un sofisticado mecanismo de ocultación de código JavaScript malicioso dentro de imágenes de logotipo, una técnica diseñada para evadir los controles de revisión de las tiendas de extensiones y los motores de detección tradicionales.


Cómo funciona la campaña GhostPoster

Las extensiones maliciosas identificadas por Koi Security ocultaban código JavaScript en sus recursos gráficos, que posteriormente se activaba para monitorizar la actividad del navegador y establecer una puerta trasera persistente. Este código descargaba una carga útil altamente ofuscada desde un recurso externo, permitiendo a los atacantes ejecutar múltiples actividades maliciosas sin levantar sospechas inmediatas.

Entre las capacidades observadas se incluyen:

  • Seguimiento detallado de la navegación del usuario

  • Secuestro de enlaces afiliados en plataformas de comercio electrónico populares

  • Inyección de iframes invisibles para fraude publicitario

  • Fraude por clics (click fraud) a gran escala

Este enfoque convierte a GhostPoster en una amenaza híbrida, orientada tanto a la monetización fraudulenta como a la recolección encubierta de datos de navegación.


LayerX confirma que la campaña sigue activa

Un nuevo informe publicado por la plataforma de seguridad para navegadores LayerX confirma que la campaña GhostPoster sigue en curso, a pesar de haber sido expuesta públicamente meses atrás. Según los investigadores, estas 17 extensiones forman parte de una operación persistente que se ha adaptado para sobrevivir a las medidas de limpieza de los proveedores de navegadores.

Las extensiones identificadas incluyen nombres que imitan herramientas legítimas y populares, una táctica clásica para ganar confianza y maximizar instalaciones. Entre las más destacadas se encuentran:

  • Google Translate con clic derecho – 522.398 instalaciones

  • Traduce texto seleccionado con Google – 159.645 instalaciones

  • Ads Block Ultimate – 48.078 instalaciones

  • Reproductor flotante – Modo PiP – 40.824 instalaciones

  • Descarga de YouTube – 11.458 instalaciones

  • AdBlocker – 10.155 instalaciones

  • Instagram Downloader – 3.807 instalaciones

En conjunto, estas extensiones alcanzaron aproximadamente 840.000 instalaciones, una cifra que pone de manifiesto el alcance masivo de la campaña.


Una operación de largo plazo

Según LayerX, la campaña se originó inicialmente en Microsoft Edge y posteriormente se expandió a Firefox y Chrome, demostrando una estrategia deliberada de diversificación de plataformas. Lo más preocupante es que algunas de las extensiones maliciosas han estado disponibles en las tiendas oficiales desde 2020, lo que indica una operación de larga duración extremadamente exitosa.

Este hallazgo refuerza la idea de que los atacantes no buscan impactos inmediatos, sino persistencia, escalabilidad y monetización sostenida a lo largo del tiempo.


Evolución técnica: una variante más avanzada

Aunque muchas de las técnicas observadas coinciden con las documentadas previamente por Koi Security, LayerX identificó una variante más sofisticada en la extensión “Instagram Downloader”, que introduce mejoras significativas en evasión y modularidad.

En esta variante, los atacantes:

  • Trasladan la lógica de staging maliciosa al script de segundo plano de la extensión

  • Utilizan un archivo de imagen empaquetado como contenedor encubierto de la carga útil

  • Escanean los bytes en bruto de la imagen en busca de un delimitador específico (

    1
    >>>>

    )

  • Extraen los datos ocultos, los almacenan en el almacenamiento local de la extensión

  • Decodifican y ejecutan el contenido en Base64 como JavaScript

Este flujo de ejecución escalonado representa un avance notable frente a métodos anteriores, dificultando la detección tanto estática como conductual.

“Este flujo de ejecución escalonada demuestra una clara evolución hacia una dormancia más prolongada, modularidad y resiliencia frente a los mecanismos de detección”, señaló LayerX.

Decodificación de la carga útil del archivo de imagenDecodificación de la carga útil del archivo de imagenFuente: LayerX


Eliminación tardía y usuarios aún en riesgo

Los investigadores confirmaron que las extensiones recién identificadas ya no están disponibles en las tiendas de complementos de Mozilla y Microsoft. Por su parte, Google confirmó que todas las extensiones maliciosas han sido eliminadas de la Chrome Web Store tras ser contactado por medios especializados.

No obstante, existe un problema crítico: los usuarios que ya instalaron estas extensiones siguen en riesgo. La eliminación de una extensión de la tienda no implica su desinstalación automática, lo que permite que el código malicioso continúe ejecutándose en los navegadores afectados.


Riesgos reales para usuarios y organizaciones

GhostPoster demuestra cómo las extensiones de navegador se han convertido en un vector de ataque altamente efectivo, incluso en ecosistemas supuestamente controlados. El impacto potencial incluye:

  • Pérdida de privacidad y perfilado de usuarios

  • Fraude financiero indirecto mediante afiliación

  • Exposición a campañas de malvertising

  • Riesgos adicionales en entornos corporativos, donde los navegadores son herramientas críticas

En organizaciones, una sola extensión maliciosa puede convertirse en una puerta de entrada silenciosa para el abuso de sesiones, robo de datos y seguimiento persistente.


Recomendaciones de seguridad

Para mitigar este tipo de amenazas, los expertos recomiendan:

  • Auditar periódicamente las extensiones instaladas en navegadores corporativos

  • Limitar el uso de extensiones mediante políticas de empresa

  • Priorizar extensiones de desarrolladores verificados y con historial comprobado

  • Utilizar soluciones de seguridad específicas para navegadores

  • Eliminar inmediatamente cualquier extensión sospechosa o innecesaria


En fin…

La campaña GhostPoster confirma que el malware basado en JavaScript y extensiones de navegador sigue evolucionando en sofisticación y alcance. Incluso tras ser expuesta públicamente, la operación logró mantenerse activa durante años, afectando a cientos de miles de usuarios.

Este caso subraya la necesidad de mayor visibilidad, controles más estrictos y una vigilancia continua sobre un vector de ataque que, por su naturaleza, sigue siendo ampliamente subestimado.

Fuente: BleepingComputer

You may also like

Dejar Comentario

Click to listen highlighted text!