– MOZILLA
MADRID, 19 Ene. (CIBERPRO) –
Se han descubierto extensiones maliciosas de GhostPoster en 840.000 instalaciones en navegadores como Firefox, Chrome y Edge, donde operan en segundo plano para vigilar a sus usuarios.
GhostPoster es una campaña que implementa extensiones dañinas para rastrear la actividad de sus usuarios e introducir una puerta trasera en sus dispositivos. Para ello, utiliza código JavaScript oculto dentro de la imagen PNG del logo de la extensión, empleando la técnica de esteganografía.
En diciembre, los expertos de la firma de seguridad KOI detectaron 17 aplicaciones maliciosas en Mozilla Firefox, que ofrecían servicios populares como traducción, bloqueadores de anuncios o VPN, y que contaban con más de 50.000 descargas.
Continuando con esta investigación, la compañía LayerX identificó otro conjunto de 17 extensiones maliciosas vinculadas a GhostPoster, las cuales se distribuyen en las tiendas de Microsoft Edge y Google Chrome, acumulando más de 840.000 instalaciones en total en los tres navegadores.
Dentro de esta campaña, los investigadores de LayerX también mencionan una variante «más avanzada y evasiva», que por sí sola ha conseguido más de 3.800 instalaciones.
Detrás de GhostPoster se encuentra un actor malicioso conocido como Darkspectre, que ha estado involucrado en la distribución de ‘malware’ a través de extensiones para navegadores en los últimos años. También ha utilizado ShadyPanda y The Zoom Stealer, que, aunque poseen diferentes técnicas y objetivos, comparten infraestructura con GhostPoster.
Según LayerX, algunas de estas extensiones han estado disponibles en las tiendas oficiales de los navegadores desde 2020, un hallazgo que coincide con lo que KOI ya había señalado sobre Darkspectre: que las campañas de este actor de amenazas, consideradas «las más grandes y sofisticadas», han sido parte de operaciones que se han desarrollado durante años.
