Una nueva campaña llamada GhostPoster ha utilizado archivos de logotipos
asociados a 17 complementos del navegador Mozilla Firefox para incrustar
código JavaScript malicioso diseñado para secuestrar enlaces de afiliados,
inyectar código de seguimiento y cometer fraudes de clics y publicidad.
Según Koi Security, empresa que descubrió la campaña, las extensiones se han descargado más de
50.000 veces. Los complementos ya no están disponibles.
Por su parte, según
nuevos hallazgos de Kaspersky, más de 1,31 millones de usuarios intentaron instalar extensiones de
navegador maliciosas o no deseadas al menos una vez .
«De enero de 2020 a junio de 2022, más de 4,3 millones de usuarios únicos
fueron atacados por adware oculto en extensiones de navegador, lo que
representa aproximadamente el 70% de todos los usuarios afectados por
complementos maliciosos o no deseados».
Estos hallazgos llegan poco más de un mes después de que Zimperiumm revelara
una familia de malware llamada
ABCsoup
que se hace pasar por una extensión de Google Translate como parte de una
campaña de adware dirigida a los usuarios rusos de los navegadores Google
Chrome, Opera y Mozilla Firefox.
Estos extensiones del navegador se anunciaban como VPN, utilidades para
capturas de pantalla, bloqueadores de anuncios y versiones no oficiales del
Traductor de Google.
El complemento más antiguo, el Modo Oscuro, se publicó el 25 de octubre de
2024 y ofrecía la posibilidad de activar un tema oscuro para todos los sitios
web.
La lista completa de complementos para navegadores se encuentra a
continuación:
- VPN gratuita
- Captura de pantalla
- Tiempo (weather-best-forecast)
- Gesto del ratón (crxMouse)
- Caché: carga rápida de sitios
- Descargador de MP3 gratuito
- Traductor de Google (google-translate-right-clicks)
- Traductor de Google
- VPN global: gratis para siempre
- Lector oscuro: modo oscuro
- Traductor: Google, Bing, Baidu, DeepL
- Tiempo (i-like-weather)
- Traductor de Google (google-translate-pro-extension)
- 谷歌翻译
- libretv-watch-free-videos
- Ad Stop: el mejor bloqueador de anuncios
- Traductor de Google (right-click-google-translate)
«Lo que realmente ofrecen es una carga útil de malware de varias etapas que
monitorea todo lo que navegas, elimina las protecciones de seguridad de tu
navegador y abre una puerta trasera para la ejecución remota de código», afirmaron los investigadores de seguridad Lotan Sery y Noga Gouldman.
La cadena de ataque comienza al obtener el archivo del logotipo al cargar una
de las extensiones mencionadas. El código malicioso analiza el archivo en
busca de un marcador con el signo «===» para extraer código JavaScript. Un
cargador se conecta a un servidor externo («www.liveupdt[.]com» o
«www.dealctr[.]com») para recuperar la carga útil principal, con un
intervalo de 48 horas entre cada intento.
Para evadir aún más la detección, el cargador está configurado para recuperar
la carga útil solo el 10% del tiempo. Esta aleatoriedad es una decisión
deliberada que se implementa para eludir los esfuerzos de monitorización del
tráfico de red. La carga útil recuperada es un completo conjunto de
herramientas con codificación personalizada capaz de monetizar las actividades
del navegador sin el conocimiento de las víctimas de varias maneras
diferentes:
-
Secuestro de enlaces de afiliados, que intercepta enlaces de afiliados a
sitios de comercio electrónico como Taobao o JD.com, privando a los
afiliados legítimos de su comisión; -
Inyección de seguimiento, que inserta el código de seguimiento de Google
Analytics en cada página web visitada por la víctima para generar un perfil
silencioso; -
Eliminación de encabezados de seguridad, que elimina encabezados de
seguridad como Content-Security-Policy y X-Frame-Options de
las respuestas HTTP, exponiendo a los usuarios a ataques de
clickjacking y cross-site scripting; -
Inyección de iframes ocultos en las páginas para cargar URL desde
servidores controlados por el atacante y permitir el fraude de anuncios y
clics; -
Omisión de CAPTCHA, que emplea varios métodos para eludir los desafíos de
CAPTCHA y evadir las medidas de seguridad de detección de bots.
¿Por qué el malware necesitaría eludir los CAPTCHA? Porque algunas de sus
operaciones, como las inyecciones de iframes ocultos, activan la
detección de bots, explicaron los investigadores. El malware necesita
demostrar su capacidad para seguir operando.
Además de las comprobaciones de probabilidad, los complementos incorporan
retrasos temporales que impiden que el malware se active hasta más de seis
días después de su instalación. Estas técnicas de evasión por capas dificultan
la detección de lo que ocurre entre bastidores.
Cabe destacar que no todas las extensiones mencionadas utilizan la misma
cadena de ataque esteganográfico, pero todas muestran el mismo comportamiento
y se comunican con la misma infraestructura de comando y control (C2), lo que
indica que se trata del trabajo de un único actor o grupo de amenazas que ha
experimentado con diferentes señuelos y métodos.
Este desarrollo se produce tan solo unos días después de que una popular
extensión de VPN para Google Chrome y Microsoft Edge
fuera descubierta
recopilando en secreto conversaciones de IA de ChatGPT, Claude y Gemini y
filtrándolas a intermediarios de datos. En agosto de 2025, se observó que otra
extensión de Chrome llamada
FreeVPN.One recopilaba
capturas de pantalla, información del sistema y la ubicación de los usuarios.
«Las VPN gratuitas prometen privacidad, pero nada en la vida es gratis», afirmó Koi Security. «Una y otra vez, ofrecen vigilancia».
Fuente:
THN