Cuidado si usas el navegador Firefox: están infiltrando esta amenaza que roba tus datos

El propósito de los atacantes en esta campaña es monitorear la actividad del navegador e instalar un acceso no autorizado. Este problema ha sido identificado por Koi Security, una firma especializada en ciberseguridad. Puedes consultar el comunicado publicado en su página oficial el 16 de diciembre, donde se detallan todos los aspectos relevantes.

Extensiones comprometidas en Firefox

El código malicioso permite a los atacantes obtener acceso persistente y con altos privilegios al navegador. De este modo, podrían secuestrar enlaces de afiliados y generar ingresos, además de inyectar código para rastrear o realizar fraudes con clics y anuncios.

Según la investigación de Koi Security, hay 17 extensiones que forman parte de la campaña GhostPoster. Todas han sido comprometidas y utilizan el logotipo PNG para extraer y ejecutar el cargador de malware o descargar la carga útil desde el servidor del atacante.

La lista completa proporcionada por Koi Security incluye:

• free-vpn-forever
• screenshot-saved-easy
• weather-best-forecast
• crxmouse-gesture
• cache-fast-site-loader
• freemp3downloader
• google-translate-right-clicks
• google-traductor-esp
• world-wide-vpn
• dark-reader-for-ff
• translator-gbbd
• i-like-weather
• google-translate-pro-extension
• 谷歌-翻译
• libretv-watch-free-videos
• ad-stop
• right-click-google-translate

Como puedes ver, muchas de estas extensiones pertenecen a categorías muy populares, como traductores, herramientas para descargar vídeos o música, VPN, y pronósticos del clima, entre otros. Algunas están dirigidas a un mercado específico, pero otras son de uso internacional y están instaladas por usuarios de múltiples países.

Es importante señalar que no todas actúan de la misma manera. Aunque no todas utilizan la misma cadena de carga útil, comparten comportamientos similares y se comunican con la infraestructura principal de los atacantes.

La primera extensión que se examinó fue FreeVPN Forever. Esto sucedió tras la detección por una herramienta de Inteligencia Artificial que analizó los bytes sin procesar del archivo de imagen del logotipo en busca de un fragmento de JavaScript oculto. Se ha indicado que el cargador de JavaScript se activa 48 horas después para recuperar una carga útil desde un dominio encriptado. Además, el cargador permanece inactivo en su mayoría, lo que dificulta su detección por herramientas de monitoreo de tráfico.

En el informe de Koi Security se menciona que todas estas extensiones estaban disponibles en la tienda de complementos de Firefox. Sin embargo, como han reportado en Bleeping Computer, Mozilla ha evaluado la situación y ha retirado todas esas extensiones recientemente de su tienda.

Recomendaciones

Es fundamental verificar las extensiones que instalas en tu navegador, ya sea Firefox, Chrome o cualquier otro. En este caso, hemos identificado un total de 17 que son parte de una campaña maliciosa que podría permitir a los atacantes robar información personal de tu navegación.

Te recomendamos que siempre instales complementos desde fuentes oficiales y evites hacerlo desde sitios de terceros. Asimismo, es recomendable limitar la cantidad de extensiones instaladas. Incluso una extensión que hoy sea confiable podría no serlo en el futuro tras una actualización. Esto se ha evidenciado recientemente en el caso de Urban VPN Proxy. Por lo tanto, es aconsejable restringir el número de complementos que tienes.

Además, es crucial mantener tus dispositivos protegidos. Asegúrate de contar con programas de seguridad, como un buen antivirus. También es importante tener todo actualizado para corregir vulnerabilidades que puedan existir en tu sistema.