(https://i.postimg.cc/2ygGj7VV/Malware-(3).png) (https://postimg.cc/ZvFpV3PS)
Lo que comenzó como un simple complemento sospechoso para el navegador se ha convertido en un problema de ciberseguridad mucho mayor que muchos usuarios jamás imaginaron. El mes pasado, Koi Security publicó un análisis de una extensión de Firefox llamada GhostPoster, que describe un método de abuso que evita las señales de advertencia habituales que buscan los revisores al analizar extensiones de navegador.
El modus operandi de GhostPoster consistía en ocultar la carga útil dentro de un archivo de imagen PNG de aspecto inofensivo.
(https://i.postimg.cc/tJg9433c/Cats_Shocked_GIFs_(1).gif) (https://postimages.org/)
Esta imagen se decodificaba y ejecutaba posteriormente, lo que permitía a la extensión eludir las herramientas de análisis estático y las revisiones manuales sin levantar sospechas.
LayerX tras Koi Security
Después de que Koi compartiera sus hallazgos, LayerX comenzó a rastrear la infraestructura detrás de la extensión. Su investigación reveló 17 complementos más que utilizaban los mismos sistemas de backend y el mismo manual operativo. En conjunto, estas extensiones se instalaron más de 840.000 veces, y algunas permanecieron en los dispositivos de los usuarios durante casi cinco años sin ser detectadas.
LayerX también detectó la presencia de una variante más avanzada dentro de la misma campaña que se basaba en métodos de evasión adicionales y que, por sí sola, representaba 3.822 instalaciones. Aunque fue menor en número, el diseño demostró una planificación cuidadosa y paciencia en lugar de ganancias rápidas.
"Tras su publicación, nuestra investigación identificó 17 extensiones adicionales asociadas con la misma infraestructura y tácticas, técnicas y procedimientos (TTP). En conjunto, estas extensiones se descargaron más de 840.000 veces, y algunas permanecieron activas hasta cinco años." LayerX
La campaña en sí no comenzó en Firefox. Los investigadores rastrearon su actividad inicial hasta Microsoft Edge, donde posteriormente se extendió a Chrome y Firefox a medida que la infraestructura maduraba. Los investigadores creen que la lenta expansión sugiere una operación a largo plazo que priorizó la persistencia sobre la velocidad, permitiendo que las extensiones siguieran siendo útiles y confiables antes de activar comportamientos dañinos.
(https://hackread.com/wp-content/uploads/2026/01/ghostposter-browser-malware-840000-installs-2.png)
Extensiones eliminadas de las tiendas, no de los navegadores
En respuesta a las revelaciones, según la publicación del blog de layerX , Mozilla y Microsoft eliminaron las extensiones identificadas de sus tiendas oficiales. Estas eliminaciones detienen las nuevas descargas, pero las extensiones ya instaladas siguen ejecutándose en los sistemas de los usuarios, lo que obliga a estos a eliminarlas manualmente.
Los hallazgos demuestran que las extensiones se han convertido en la forma más fácil para los ciberdelincuentes de comprometer la seguridad de los navegadores. Por lo tanto, los usuarios deben revisar periódicamente las extensiones instaladas, limitar los permisos y eliminar cualquier extensión que ya no necesiten.
Fuente:
HackRead
https://hackread.com/ghostposter-browser-malware-840000-installs/