Una investigación reciente ha identificado una nueva fase de la campaña GhostPoster, que distribuye extensiones maliciosas a través de las tiendas oficiales de Chrome Web Store, Firefox Add-ons y Microsoft Edge. En total, se han detectado al menos 17 complementos implicados, con más de 840 000 instalaciones acumuladas, lo que la convierte en una de las campañas de abuso de extensiones de navegador más significativas de los últimos años.
Origen y expansión de la campaña GhostPoster en las tiendas de extensiones
La actividad de GhostPoster se documentó por primera vez en diciembre del año pasado, a raíz de un análisis de Koi Security. En aquel momento se identificaron 17 extensiones maliciosas para Firefox que empleaban esteganografía, es decir, el ocultamiento de información dentro de archivos aparentemente inocuos, como imágenes PNG utilizadas como logotipos. El código JavaScript malicioso se incrustaba en estas imágenes, alcanzando en esa primera fase más de 50 000 instalaciones.
Un informe posterior de LayerX demuestra que la campaña no sólo continuó activa, sino que se amplió a otras plataformas. Los investigadores indican que el vector inicial fueron extensiones para Microsoft Edge, y que posteriormente las mismas técnicas se replicaron en los ecosistemas de Firefox y Google Chrome. Algunas de estas extensiones habrían estado disponibles desde 2020, pasando desapercibidas durante años pese a los procesos de revisión de las tiendas.
Esteganografía, carga dinámica y evasión de controles de seguridad
El rasgo distintivo de GhostPoster es el uso sistemático de esteganografía en extensiones de navegador. Los complementos descargaban desde servidores externos JavaScript fuertemente ofuscado, oculto dentro de imágenes. Un script en el navegador extraía el contenido oculto, lo descifraba y lo ejecutaba localmente, reduciendo la probabilidad de detección en los análisis estáticos habituales de las tiendas de extensiones.
Una vez activada la carga maliciosa, las extensiones ejecutaban varias acciones típicas de adware y fraude:
- Monitorización del comportamiento de navegación, recopilando qué sitios visita el usuario.
- Manipulación de enlaces de afiliación en grandes plataformas de comercio electrónico y servicios, desviando las comisiones hacia los operadores de la campaña.
- Inserción de iframes invisibles para generar impresiones y clics falsos, una táctica clásica de fraude publicitario (ad fraud) orientada a inflar ingresos ilegítimos.
Evolución técnica: el caso del extension “Instagram Downloader”
Los analistas de LayerX han observado una clara evolución en la sofisticación de GhostPoster, tomando como ejemplo la extensión maliciosa Instagram Downloader*. En esta variante, la lógica de preparación del código malicioso se trasladó a un script de fondo (background script), y la carga útil ya no se oculta sólo en el logotipo, sino también en un archivo de imagen interno incluido dentro del propio paquete de la extensión.
El proceso se ejecutaba en varias fases: el script de fondo escaneaba el flujo de bytes de la imagen en busca de un marcador específico (por ejemplo, la secuencia >>>>), extraía los datos que seguían a ese marcador y los almacenaba en el almacenamiento local de la extensión. Posteriormente, decodificaba esa cadena desde Base64 y la ejecutaba como código JavaScript en el navegador.
Este diseño modular incrementa el llamado “periodo de inactividad” del malware y complica tanto el análisis estático (revisión del código fuente o del paquete) como el análisis de comportamiento, ya que la actividad maliciosa puede activarse de forma diferida o condicionada. Esta tendencia se alinea con una evolución más amplia del malware en extensiones de navegador, que busca evadir cada vez mejor los mecanismos de moderación automatizados.
Impacto, riesgos para la privacidad y reacción de los proveedores
La suma de 840 000 instalaciones de las extensiones vinculadas a GhostPoster implica un impacto significativo. Para los atacantes, este volumen se traduce en una fuente estable de ingresos a través de la sustitución de enlaces de afiliación y el fraude publicitario, además de proporcionar acceso a datos de comportamiento de los usuarios, valiosos para perfilar hábitos de navegación o preparar ataques posteriores.
Tras la divulgación de los hallazgos, Mozilla, Microsoft y Google procedieron a eliminar todas las extensiones identificadas de sus catálogos oficiales. Sin embargo, la experiencia en campañas similares muestra que los desarrolladores maliciosos suelen regresar con nuevas versiones, cambiando nombres, descripciones y cuentas de desarrollador para intentar eludir de nuevo los controles.
Buenas prácticas de seguridad para usuarios y organizaciones
El caso GhostPoster refuerza una idea clave: instalar extensiones desde tiendas oficiales no garantiza por sí solo la seguridad. Para reducir la superficie de ataque, es recomendable aplicar las siguientes medidas:
- Preferir extensiones de desarrolladores reconocidos y con buen historial de valoraciones y descargas.
- Revisar con detalle los permisos solicitados (acceso al historial, a los datos de todos los sitios, lectura y modificación de páginas, etc.) y evitar conceder más de lo estrictamente necesario.
- Realizar una auditoría periódica de extensiones, desinstalando aquellas que ya no se utilicen o resulten sospechosas, especialmente las orientadas a “descargas gratuitas” de contenido en redes sociales.
- En el ámbito corporativo, implementar políticas de allowlist que limiten la instalación a un conjunto aprobado de extensiones y supervisar conexiones salientes desde el navegador hacia dominios poco conocidos asociados a complementos.
- Complementar estas prácticas con soluciones de EDR/NGAV capaces de detectar comportamientos anómalos en procesos de navegador y actividades de inyección de scripts.
Las campañas basadas en extensiones maliciosas como GhostPoster ponen de relieve que el navegador se ha convertido en uno de los principales vectores de ataque. Adoptar una estrategia de defensa en profundidad, revisar las extensiones instaladas y consolidar políticas de uso seguro en entornos personales y empresariales son pasos esenciales para mitigar el riesgo y fortalecer la postura de ciberseguridad frente a futuras campañas similares.
