Una nueva campaña denominada Póster Ghost ha apalancada archivos de logotipo asociados a 17 complementos del navegador Mozilla Firefox para incrustar código JavaScript malintencionado diseñado para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraudes publicitarios y de clics.
Las extensiones se han descargado colectivamente más de 50 000 veces, según Koi Security, que descubrió la campaña. Los complementos ya no están disponibles.
Estos programas de navegación se anunciaban como VPNs, utilidades de captura de pantalla, bloqueadores de anuncios y versiones no oficiales de Google Translate. El complemento más antiguo, Dark Mode, se publicó el 25 de octubre de 2024 y ofrece la posibilidad de habilitar un tema oscuro para todos los sitios web. La lista completa de los complementos del navegador se encuentra a continuación:
- VPN gratuita
- captura de pantalla
- Clima (mejor pronóstico del tiempo)
- Gesto del ratón (CRXMouse)
- Caché: cargador rápido de sitios
- Descargador gratuito de MP3
- Google Translate (google traduce clics con el botón derecho)
- Traductor de Google
- VPN global: gratis para siempre
- Modo oscuro de Dark Reader
- Traductor - Google Bing Baidu DeepL
- Clima (me gusta el clima)
- Traductor de Google (extensión google-translate-pro)
- 谷歌翻译
- libretv - mira vídeos gratis
- Ad Stop: el mejor bloqueador de anuncios
- Traductor de Google (haga clic con el botón derecho del ratón y traduzca en Google)
«Lo que realmente ofrecen es una carga de malware de varias etapas que monitorea todo lo que navegas, elimina las protecciones de seguridad del navegador y abre una puerta trasera para la ejecución remota de código», afirman los investigadores de seguridad Lotan Sery y Noga Gouldman.
La cadena de ataque comienza cuando se obtiene el archivo del logotipo cuando se carga una de las extensiones mencionadas anteriormente. El código malintencionado analiza el archivo en busca de un marcador que contenga el signo «===» para extraer el código JavaScript, un cargador que llega a un servidor externo («www.liveupdt [.] com» o «www.dealctr [.] com») para recuperar la carga útil principal, esperando 48 horas entre cada intento.
Para evitar aún más la detección, el cargador está configurado para recuperar la carga útil solo el 10% del tiempo. Esta aleatoriedad es una elección deliberada que se introduce para eludir los esfuerzos por supervisar el tráfico de la red. La carga útil recuperada es un conjunto completo de herramientas codificado a medida capaz de monetizar las actividades del navegador sin que las víctimas lo sepan de cuatro maneras diferentes:
- El secuestro de enlaces de afiliados, que intercepta enlaces de afiliados a sitios de comercio electrónico como Taobao o JD.com, privando a los afiliados legítimos de su comisión
- Inyección de seguimiento, que inserta el código de seguimiento de Google Analytics en cada página web visitada por la víctima para perfilarla de forma silenciosa
- Eliminación de encabezados de seguridad, que elimina encabezados de seguridad como Content-Security-Policy y X-Frame-Options de las respuestas HTTP, lo que expone a los usuarios a ataques de hackeo de clics y secuencias de comandos entre sitios
- Inyección de iframes ocultos, que inyecta iframes invisibles en las páginas para cargar las URL de los servidores controlados por los atacantes y permitir el fraude de anuncios y clics
- Omisión de CAPTCHA, que emplea varios métodos para eludir los desafíos de CAPTCHA y evadir las medidas de protección de detección de bots
«¿Por qué el malware tendría que eludir los CAPTCHA? Porque algunas de sus operaciones, como las inyecciones ocultas de iframes, activan la detección de bots», explican los investigadores. «El malware necesita demostrar que es 'humano' para seguir funcionando».
Además de las comprobaciones de probabilidad, los complementos también incorporan retrasos temporales que impiden que el malware se active hasta más de seis días después de la instalación. Estas técnicas de evasión escalonadas dificultan la detección de lo que ocurre entre bastidores.
Vale la pena enfatizar aquí que no todas las extensiones anteriores utilizan la misma cadena de ataque esteganográfica, pero todas muestran el mismo comportamiento y se comunican con la misma infraestructura de comando y control (C2), lo que indica que es el trabajo de un solo actor o grupo de amenazas que ha experimentado con diferentes señuelos y métodos.
El desarrollo se produce pocos días después de que se lanzara una popular extensión de VPN para Google Chrome y Microsoft Edge atrapado recopilar en secreto conversaciones de IA de ChatGPT, Claude y Gemini y filtrarlas a los corredores de datos. En agosto de 2025, otra extensión de Chrome llamada FreeVPN.one fue observado recopilar capturas de pantalla, información del sistema y ubicaciones de los usuarios.
«Las VPN gratuitas prometen privacidad, pero nada en la vida es gratis», afirma Koi Security. «En vez de eso, ofrecen vigilancia una y otra vez».