En un preocupante descubrimiento reciente, se ha revelado que las extensiones maliciosas de GhostPoster han sido instaladas en alrededor de 840.000 ocasiones en los navegadores Firefox, Chrome y Edge. Estas extensiones operan discretamente, llevando a cabo actividades de vigilancia sobre los usuarios afectados.

La campaña denominada GhostPoster utiliza software malicioso para rastrear la actividad de los usuarios y establecer una puerta trasera en sus dispositivos. Lo más inquietante es que implementa código JavaScript que se esconde en el logo de la extensión, empleando la técnica de la esteganografía para eludir la detección.

Un análisis llevado a cabo por expertos en seguridad de KOI en diciembre reveló 17 extensiones maliciosas en Mozilla Firefox, que ofrecían servicios atractivos como traducción, bloqueadores de anuncios y VPN. Estas extensiones lograron acumular más de 50.000 descargas, lo que evidencia su aceptación entre los usuarios.

El seguimiento de esta investigación por parte de LayerX ha destapado otro conjunto de 17 extensiones inseguros asociadas con GhostPoster, que ahora se distribuyen también en las plataformas de Microsoft Edge y Google Chrome. Con esto, el total de instalaciones en los tres navegadores supera las 840.000.

Los investigadores de LayerX han señalado que dentro de la iniciativa de GhostPoster se identifica una variante "más compleja y evasiva", que por sí sola ha alcanzado más de 3.800 instalaciones, lo que plantea aún más interrogantes sobre la efectividad de las medidas de protección.

La figura detrás de GhostPoster es un actor cibercriminal conocido como Darkspectre, quien ha estado involucrado en la difusión de malware a través de extensiones de navegadores en los últimos años. Este grupo también ha operado bajo otros nombres como ShadyPanda y The Zoom Stealer, aunque cada uno tiene sus propias tácticas y objetivos, todos comparten una infraestructura en común con GhostPoster.

Según la información proporcionada por LayerX, algunas de estas extensiones maliciosas se han mantenido disponibles en las tiendas oficiales de los navegadores desde 2020. Este hallazgo complementa lo que KOI ya había señalado sobre Darkspectre: las campañas de este actor de amenazas, consideradas entre las más complejas y desarrolladas, han evolucionado a lo largo de varios años.