GhostPoster, la amenaza que se oculta en extensiones maliciosas para Firefox, Chrome y Edge con 840.000 instalaciones

Las extensiones maliciosas de GhostPoster se han encontrado en 840.000 instalaciones en Firefox, Chrome y Edge, desde donde realizan una actividad en segundo plano para monitorizar a sus víctimas.

GhostPoster es una campaña que utiliza extensiones maliciosas para monitorizar la actividad de sus víctimas e instalar una puerta trasera en sus ordenadores. Para ello, emplea código JavaScript que oculta de manera efectiva en la imagen PNG del logo de la extensión mediante la técnica de la esteganografía.

En diciembre, los analistas de la firma de seguridad KOI identificaron 17 aplicaciones maliciosas para Mozilla Firefox, que ofrecían servicios populares como traducción, bloqueadores de anuncios o VPN, y que acumulaban más de 50.000 descargas.

Siguiendo esta investigación, la empresa LayerX ha identificado otro conjunto de 17 extensiones maliciosas relacionadas con GhostPoster que se distribuyen en esta ocasión en las tiendas de Microsoft Edge y Google Chrome, acumulando más de 840.000 instalaciones en los tres navegadores.

Dentro de esta campaña de GhostPoster, los investigadores de LayerX también citan una variante "más sofisticada y evasiva", que acumula ella sola más de 3.800 instalaciones.

Detrás de GhostPoster se encuentra un actor malicioso denominado Darkspectre, que se ha dedicado en los últimos años a distribuir 'malware' en extensiones para navegadores web. Y lo ha hecho también a través de ShadyPanda y The Zoom Stealer que, pese a tener cada una de ellas sus técnicas y objetivos, compartían infraestructura con GhostPoster.

Según LayerX, algunas extensiones han estado presentes en las tiendas oficiales de los navegadores desde 2020, un descubrimiento en línea con los que KOI ya apuntó sobre Darkspectre: que las campañas de este actor de amenazas, calificadas como "las más grandes y sofisticadas", se han desarrollado en operaciones que han durado años.