Nueva campaña maliciosa “GhostPoster” infecta a más de 50.000 usuarios de Firefox mediante iconos PNG

ghostposter
Empresas
Ciudadanía

Investigadores de seguridad han identificado una nueva campaña de malware denominada GhostPoster, que ha logrado comprometer aproximadamente 50.000 usuarios del navegador Mozilla Firefox mediante una técnica avanzada de esteganografía y ofuscación, ocultando código malicioso dentro de iconos PNG utilizados por extensiones de navegador aparentemente legítimas.

Descripción general del ataque

La campaña se distribuye principalmente a través de extensiones de Firefox que aparentan ser inofensivas, como servicios VPN gratuitos (por ejemplo, extensiones del tipo “Free VPN”). Estas extensiones superaron los controles iniciales de los mercados oficiales al no contener, a simple vista, código malicioso detectable.

A diferencia del malware tradicional, GhostPoster no descarga ejecutables externos ni utiliza inyecciones evidentes de scripts, lo que dificulta su detección.

Método técnico: ofuscación y carga maliciosa

El aspecto más relevante y avanzado de esta campaña es su mecanismo de ocultación y descifrado, que funciona en varias fases:

Esteganografía en imágenes PNG

  • El payload inicial se oculta directamente en los bytes crudos de un archivo PNG, concretamente en el icono de la extensión.
  • Los escáneres de seguridad suelen tratar las imágenes como recursos benignos, permitiendo evadir controles automáticos y revisiones manuales.


Extracción de código JavaScript

  • Una vez instalada la extensión, el código oculto en la imagen se extrae en memoria y se utiliza para iniciar una cadena de infección en múltiples etapas.
  • No se escribe ningún archivo malicioso en disco en esta fase inicial.


Rutina de descifrado personalizada

El payload se reconstruye mediante un algoritmo de transformación en tres pasos:

  • Intercambio de mayúsculas y minúsculas en todo el contenido.
  • Sustitución de caracteres numéricos, intercambiando los valores ‘8’ y ‘9’.
  • Decodificación Base64 para obtener el código JavaScript final.


Cifrado dinámico en memoria

  • Tras la decodificación, el código se protege mediante cifrado XOR, utilizando como clave el identificador único de ejecución de la extensión.
  • Esto garantiza que el código malicioso solo exista en memoria, sin dejar huellas estáticas para análisis forense.


Capacidades del malware

Una vez activo, GhostPoster permite a los atacantes:

  • Ejecutar comandos remotos en el navegador de la víctima.
  • Inyectar scripts de seguimiento y comprometer la privacidad del usuario.
  • Eliminar cabeceras de seguridad críticas, como Content-Security-Policy (CSP).
  • Secuestrar tráfico web con fines de fraude publicitario o afiliación.
  • Mantener persistencia mediante retrievals intermitentes y retardos aleatorios, dificultando el análisis dinámico.


Los investigadores han identificado al menos 17 extensiones distintas relacionadas con la campaña, todas ellas comunicándose con la misma infraestructura de comando y control (C2).

Riesgos principales

  • Compromiso de la privacidad del usuario
  • Manipulación del tráfico web
  • Pérdida de confianza en extensiones de navegador
  • Dificultad de detección por soluciones tradicionales de seguridad


Recomendaciones de seguridad

  1. Revisar y eliminar extensiones no esenciales, especialmente VPN gratuitas.
  2. Instalar extensiones únicamente de desarrolladores verificados y con buena reputación.
  3. Mantener Firefox y el sistema operativo completamente actualizados.
  4. Utilizar soluciones de seguridad que incluyan análisis de comportamiento, no solo firmas.
  5. En entornos corporativos, auditar extensiones instaladas y restringir su uso mediante políticas.


Desde el Portal de Ciberseguridad de Galicia se recomienda extremar la precaución ante extensiones de navegador aparentemente legítimas y mantenerse informado sobre campañas activas como GhostPoster.