Una nueva campaña conocida como GhostPoster ha empleado archivos de logotipos de 17 complementos del navegador Mozilla Firefox para insertar código JavaScript malicioso. Este código está diseñado para secuestrar enlaces de afiliados, inyectar rastreadores y llevar a cabo fraudes publicitarios y de clics.
Según Koi Security, la empresa que descubrió esta campaña, las extensiones afectadas han sido descargadas más de 50,000 veces. Actualmente, estos complementos ya no están disponibles.
Además, nuevos hallazgos de Kaspersky indican que más de 1.31 millones de usuarios intentaron instalar extensiones maliciosas o no deseadas al menos en una ocasión. «De enero de 2020 a junio de 2022, más de 4.3 millones de usuarios únicos fueron atacados por adware oculto en extensiones, lo que representa aproximadamente el 70% de todos los afectados por complementos maliciosos o no deseados».
Este descubrimiento se produce poco después de que Zimperiumm revelara una familia de malware llamada ABCsoup, que se disfraza de una extensión de Google Translate como parte de una campaña de adware dirigida a usuarios rusos de navegadores como Google Chrome, Opera y Mozilla Firefox.
Las extensiones en cuestión se promocionaban como VPN, herramientas para capturas de pantalla, bloqueadores de anuncios y versiones no oficiales del Traductor de Google. La extensión más antigua, Modo Oscuro, fue publicada el 25 de octubre de 2024 y ofrecía la opción de habilitar un tema oscuro en todos los sitios web.
A continuación se presenta la lista completa de los complementos afectados:
- VPN gratuita
- Captura de pantalla
- Tiempos (weather-best-forecast)
- Gesto del ratón (crxMouse)
- Caché: carga rápida de sitios
- Descargador de MP3 gratuito
- Traductor de Google (google-translate-right-clicks)
- Traductor de Google
- VPN global: gratis para siempre
- Lector oscuro: modo oscuro
- Traductor: Google, Bing, Baidu, DeepL
- Tiempos (i-like-weather)
- Traductor de Google (google-translate-pro-extension)
- 谷歌翻译
- libretv-watch-free-videos
- Ad Stop: el mejor bloqueador de anuncios
- Traductor de Google (right-click-google-translate)
«Lo que realmente ofrecen es una carga útil de malware de múltiples etapas que supervisa tu navegación, elimina las protecciones de seguridad de tu navegador y abre una puerta trasera para la ejecución remota de código», afirmaron los investigadores de seguridad Lotan Sery y Noga Gouldman.
El ataque comienza con la descarga del archivo de logotipo al instalar una de las extensiones mencionadas. El código malicioso analiza el archivo en busca de un marcador específico para extraer el script JavaScript. Un cargador se conecta a un servidor externo («www.liveupdt[.]com» o «www.dealctr[.]com») para obtener la carga útil principal, con una frecuencia de recuperación cada 48 horas.
Para evitar la detección, el cargador solo busca recuperar la carga útil el 10% del tiempo. Esta estrategia aleatoria se implementa deliberadamente para eludir la vigilancia del tráfico de red. La carga útil recuperada es un completo conjunto de herramientas con codificación personalizada capaz de monetizar las actividades del navegador de múltiples maneras sin que las víctimas se den cuenta:
- Secuestro de enlaces de afiliados, interceptando enlaces de sitios de comercio electrónico como Taobao o JD.com, privando a los afiliados legítimos de sus comisiones;
- Inyección de seguimiento, que inserta el código de Google Analytics en cada página web visitada para crear un perfil silencioso;
- Eliminación de encabezados de seguridad, que elimina encabezados como Content-Security-Policy y X-Frame-Options de las respuestas HTTP, exponiendo a los usuarios a ataques de clickjacking y cross-site scripting;
- Inyección de iframes ocultos en las páginas, cargando URL de servidores controlados por el atacante, facilitando el fraude publicitario y de clics;
- Omisión de CAPTCHA, utilizando varios métodos para eludir los desafíos y evadir las medidas de detección de bots.
¿Por qué el malware necesita evitar los CAPTCHAs? Porque algunas de sus operaciones, como las inyecciones de iframes ocultos, podrían activar la detección de bots, según los investigadores. El malware necesita mostrar su capacidad para continuar operando.
Aparte de las verificaciones de probabilidad, las extensiones también incorporan retrasos temporales, impidiendo que el malware se active hasta seis días después de su instalación. Estas técnicas de evasión hacen más difícil detectar las actividades ocultas.
Es importante mencionar que no todas las extensiones utilizan la misma técnica de ataque esteganográfico, pero todas comparten patrones de comportamiento y se comunican con la misma infraestructura de comando y control (C2), sugiriendo que son obra de un único actor o grupo de amenazas que ha probado diversas estrategias y métodos.
Este desarrollo se da pocos días después de que se descubriera una extensión popular de VPN para Google Chrome y Microsoft Edge que recopilaba en secreto conversaciones de IA de ChatGPT, Claude y Gemini y las enviaba a intermediarios de datos. En agosto de 2025, se observó una nueva extensión de Chrome, FreeVPN.One, que recopilaba capturas de pantalla, información del sistema y ubicación de los usuarios.
«Las VPN gratis prometen privacidad, pero nada es realmente gratuito en esta vida», advirtió Koi Security. «Una y otra vez, terminan ofreciendo vigilancia».
Fuente:
THN
Con Información de blog.segu-info.com.ar