Investigadores de Koi Security han descubierto una campaña de malware a gran escala, denominada GhostPoster, dirigida específicamente a usuarios del navegador Firefox. Los atacantes aprovecharon 17 extensiones maliciosas cuya particularidad era que ocultaban JavaScript malicioso dentro de sus propios logotipos en formato PNG mediante técnicas de esteganografía. Según las estimaciones, estas extensiones superaron las 50 000 instalaciones, lo que convierte el incidente en un caso relevante para la seguridad de los complementos de navegador.
Campaña GhostPoster: malware oculto en extensiones maliciosas de Firefox
Steganografía en logos PNG para ocultar JavaScript malicioso
El rasgo más distintivo de GhostPoster es el uso de esteganografía en imágenes PNG para encubrir el código malicioso. En lugar de integrar directamente los scripts en los archivos fuente del complemento, los operadores incrustaron fragmentos de JavaScript en la estructura binaria de los logotipos de las extensiones. Visualmente, las imágenes parecen normales, lo que dificulta su detección tanto por los usuarios como por muchos sistemas automáticos de revisión.
Dentro de cada extensión, un script específico se encarga de leer secuencialmente los bytes en bruto del archivo PNG, extraer el fragmento oculto de JavaScript y ejecutarlo en el contexto del complemento. Ese fragmento actúa como un loader o cargador: no contiene la carga maliciosa principal, sino que se limita a comunicar con la infraestructura del atacante para descargar el payload real desde un servidor remoto.
Ejecución diferida y evasión de análisis de tráfico de red
Para evadir herramientas de monitorización y soluciones de detección basadas en comportamiento, GhostPoster integra varias capas de sigilo. Tras la instalación del complemento, el loader permanece inactivo durante aproximadamente 48 horas, lo que dificulta correlacionar la instalación de la extensión con el inicio de actividad sospechosa en el navegador o en la red.
Además, el componente de carga solo se comunica con el servidor de comando y control (C2) en torno a una de cada diez ejecuciones. El resto del tiempo se mantiene en un estado “durmiente”, reduciendo significativamente el volumen de tráfico malicioso observable. La campaña también cuenta con un servidor de respaldo para garantizar la continuidad de la operación si el dominio principal es bloqueado o cae fuera de línea.
Obfuscación avanzada y cifrado XOR del payload
La carga útil descargada desde los servidores de GhostPoster presenta un alto grado de obfuscación. Según el análisis de Koi Security, los atacantes combinan cambios de mayúsculas y minúsculas, codificación Base64 y otras técnicas de ofuscación de estructura para hacer el código difícil de leer y analizar. Tras una primera fase de decodificación, los datos se someten a un cifrado XOR, cuyo valor de clave se calcula dinámicamente a partir del runtime ID de cada extensión.
Este enfoque genera variantes ligeramente distintas del mismo componente malicioso en cada sistema, debilitando la eficacia de las firmas estáticas tradicionales y complicando tanto el análisis automático como el manual. Esta combinación de ofuscación y cifrado es coherente con tácticas observadas en campañas actuales de malware orientadas a evadir antivirus y motores de análisis de código.
Impacto y riesgos para usuarios de Firefox y organizaciones
Una vez activo, el payload final de GhostPoster aprovecha los permisos legítimos de las extensiones para interactuar con el navegador. En función de los privilegios concedidos, estos complementos pueden leer y modificar el contenido de las páginas web visitadas, inyectar JavaScript adicional, monitorizar la actividad del usuario o insertar y sustituir elementos publicitarios.
En el momento del análisis, la variante estudiada no se dedicaba al robo directo de contraseñas ni al redireccionamiento sistemático hacia sitios de phishing. Sin embargo, el verdadero riesgo reside en la presencia de un loader oculto capaz de descargar, en cualquier momento, módulos mucho más agresivos: desde componentes para credential stealing hasta funcionalidades espía o de adware. La campaña se camufla detrás de categorías habituales como VPN, traductores, bloqueadores de anuncios o widgets de meteorología, lo que incrementa la probabilidad de instalación por parte de usuarios que buscan mejorar su privacidad o productividad.
Respuesta de Mozilla y lecciones para el ecosistema de extensiones
De acuerdo con Mozilla, el equipo responsable del ecosistema de complementos ya ha eliminado todas las extensiones asociadas a GhostPoster del portal oficial addons.mozilla.org y ha actualizado sus sistemas de detección automatizada para bloquear patrones técnicos y de comportamiento similares en el futuro.
El incidente subraya que la revisión previa y la moderación de código no garantizan una seguridad absoluta en los catálogos de extensiones. El uso de esteganografía, activación diferida y obfuscación multinivel permite a los atacantes eludir durante un tiempo tanto los controles automáticos como las auditorías manuales. Casos análogos se han documentado también en otras plataformas de extensiones de navegador, lo que demuestra que se trata de un riesgo estructural del modelo de addons con amplios permisos.
Cómo protegerse de extensiones maliciosas en Firefox
A raíz de GhostPoster, se refuerza la necesidad de aplicar buenas prácticas de seguridad en Firefox y, en general, en cualquier navegador moderno. Los especialistas recomiendan instalar extensiones únicamente desde el catálogo oficial y evitar archivos de procedencia dudosa o repositorios no verificados.
Es fundamental revisar el desarrollador, la reputación y las valoraciones del complemento, desconfiando de extensiones con muy pocas instalaciones pero puntuaciones inusualmente altas. Reducir la superficie de ataque pasa también por limitar el número de addons a los estrictamente necesarios y realizar revisiones periódicas para eliminar los que ya no se utilizan.
Otra medida clave consiste en analizar con atención los permisos solicitados. Si una herramienta aparentemente sencilla reclama acceso a “todos los sitios web” o al historial de navegación sin una razón evidente, conviene reconsiderar su instalación. Mantener el navegador y los complementos siempre actualizados permite beneficiarse de parches de seguridad y mejoras en los mecanismos de protección.
En entornos corporativos, es aconsejable complementar estas prácticas con soluciones de monitorización de tráfico y protección frente a amenazas, así como con políticas claras sobre qué extensiones pueden instalar los empleados. La combinación de controles técnicos y concienciación del usuario reduce de forma significativa el impacto potencial de campañas como GhostPoster.
GhostPoster ilustra hasta qué punto las extensiones de navegador pueden convertirse en un vector eficaz para el espionaje y el fraude cuando se combinan técnicas como la esteganografía en PNG, la activación aplazada y la obfuscación avanzada. Adoptar una actitud crítica ante cualquier complemento, revisar su origen y sus permisos, y auditar regularmente las extensiones instaladas son pasos esenciales para proteger la privacidad digital y los datos corporativos. Aprovechar el incidente como oportunidad para revisar políticas internas y hábitos de uso del navegador puede marcar la diferencia entre un entorno expuesto y uno resiliente frente a futuras campañas de extensiones maliciosas.
