La nueva campaña, denominada GhostPoster, utilizó archivos de logotipo asociados con 17 complementos del navegador Mozilla Firefox para incrustar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar códigos de seguimiento y cometer clics y fraude publicitario.
En total, la extensión se descargó más de 50.000 veces, según Koi Security, que descubrió la campaña. El complemento ya no está disponible.
Estos programas de navegador se promocionaron como VPN, utilidades de captura de pantalla, bloqueadores de publicidad y versiones no oficiales de Google Translate. El complemento más antiguo, Modo oscuro, se lanzó el 25 de octubre de 2024 y brindaba la posibilidad de habilitar un tema oscuro en todos los sitios web. La lista completa de complementos del navegador se encuentra a continuación:
Captura de pantalla VPN gratuita Clima (mejor pronóstico del tiempo) Gestos del mouse (crxMouse) Almacenamiento en caché: cargador rápido de sitios Descargador de MP3 gratuito Traductor de Google (google-translate-right-clicks) Google Global VPN Translate – Free Forever Dark Reader Traducción en modo oscuro – Google Bing Baidu DeepL Weather (i-like-weather) Google Translate (google-translate-pro-extension)谷歌译libretv-watch-free-videos Ad Stop – Mejor Bloqueador de anuncios Google Translate (haga clic derecho en Google Translate)
«Lo que realmente ofrecen es una carga útil de malware de múltiples etapas que monitorea todo lo que ves, elimina las protecciones de seguridad del navegador y abre una puerta trasera para la ejecución remota de código», dijeron los investigadores de seguridad Lotan Selly y Noga Gouldman.
La cadena de ataque comienza cuando se recupera el archivo del logotipo cuando se carga una de las extensiones anteriores. El código malicioso analiza el archivo y busca marcadores que contengan el símbolo «===» para extraer el código JavaScript. El cargador se pone en contacto con un servidor externo (‘www.liveupdt(.)com’ o ‘www.dealctr(.)com’) para recuperar la carga útil principal y espera 48 horas entre cada intento.
Para evitar aún más la detección, el cargador está configurado para recuperar la carga útil solo el 10% del tiempo. Esta aleatoriedad es una elección deliberada introducida para eludir los esfuerzos de monitorear el tráfico de la red. La carga útil recuperada es un completo conjunto de herramientas codificadas de forma personalizada que puede monetizar la actividad del navegador de cuatro maneras diferentes sin el conocimiento de la víctima.
Secuestro de enlaces de afiliados. Intercepta enlaces de afiliados a sitios de comercio electrónico como Taobao y JD.com y roba comisiones de afiliados legítimos. Inyección de seguimiento. Elaboración de perfiles silenciosos mediante la inserción del código de seguimiento de Google Analytics en cada página web visitada por la víctima. Desmontaje del cabezal de seguridad. Elimina encabezados de seguridad como Content-Security-Policy y X-Frame-Options de las respuestas HTTP, exponiendo a los usuarios a ataques de clickjacking y scripts entre sitios. Inyección de iframe oculta. Inyecta un iframe oculto en una página para cargar una URL desde un servidor controlado por un atacante, lo que permite publicidad y fraude de clics. Omisión de CAPTCHA. Utilizan varios métodos para evitar los desafíos CAPTCHA y eludir las salvaguardas de detección de bots.
«¿Por qué el malware necesitaría eludir CAPTCHA? Porque algunas operaciones de malware, como las inyecciones ocultas de iframe, activan la detección de bots», explican los investigadores. «Para que el malware siga funcionando, debe demostrar que es ‘humano’.»
Además de las comprobaciones de probabilidad, el complemento también incorpora un retraso basado en el tiempo que evita que el malware se active hasta al menos 6 días después de la instalación. Estas técnicas de evasión en capas dificultan detectar lo que sucede detrás de escena.
Nos gustaría enfatizar aquí que, si bien no todas las extensiones enumeradas anteriormente utilizan la misma cadena de ataque esteganográfica, el hecho de que todas muestren el mismo comportamiento y se comuniquen con la misma infraestructura de comando y control (C2) indica que esto es obra de un solo atacante o grupo que ha experimentado con diferentes tentaciones y técnicas.
Este desarrollo se produce pocos días después de que se descubriera que las populares extensiones VPN para Google Chrome y Microsoft Edge estaban recopilando en secreto conversaciones de IA de ChatGPT, Claude y Gemini y las filtraban a intermediarios de datos. En agosto de 2025, se observó otra extensión de Chrome llamada FreeVPN.One que recopilaba capturas de pantalla, información del sistema e información de ubicación del usuario.
«Las VPN gratuitas prometen privacidad, pero nada en la vida es gratis», afirma Koi Security. “Una y otra vez, en cambio, brindan supervisión”.
Source link
