Nova campaña maliciosa “GhostPoster” infecta a máis de 50.000 persoas usuarias de Firefox mediante iconas PNG

ghostposter
Empresas
Cidadanía

Persoal investigador en ciberseguridade identificou unha nova campaña de malware denominada GhostPoster, que conseguiu comprometer aproximadamente 50.000 persoas usuarias do navegador Mozilla Firefox empregando técnicas avanzadas de esteganografía e ofuscación, ocultando código malicioso dentro de imaxes PNG utilizadas como iconas de extensións aparentemente lexítimas.

Descrición xeral do ataque

A campaña distribúese principalmente a través de extensións de Firefox que aparentan ser inofensivas, como servizos de VPN gratuítos (por exemplo, extensións do tipo “Free VPN”). Estas extensións conseguiron superar os controis iniciais dos mercados oficiais ao non conter, de forma visible, código malicioso detectable.

A diferenza do malware tradicional, GhostPoster non require descargas externas nin emprega inxeccións evidentes de scripts, o que dificulta notablemente a súa detección.

Método técnico: esteganografía e ofuscación avanzada

O aspecto máis destacable desta campaña é o seu mecanismo de ocultación e descifrado en varias fases:

Esteganografía en imaxes PNG

  • O payload inicial atópase oculto directamente nos bytes brutos dun ficheiro PNG, concretamente na icona da extensión.
  • Os sistemas de seguridade adoitan considerar as imaxes como recursos benignos, permitindo así evadir escáneres automáticos e revisións manuais.


Extracción de código JavaScript

  • Unha vez instalada a extensión, o código oculto na imaxe extráese directamente en memoria.
  • Este código inicia unha cadea de infección en múltiples etapas, sen deixar ficheiros maliciosos persistentes no disco.


Rutina de descifrado personalizada

O código malicioso reconstrúese mediante un algoritmo de transformación en tres pasos:

  • Intercambio de letras maiúsculas e minúsculas en todo o contido.
  • Substitución dos díxitos ‘8’ e ‘9’.
  • Decodificación Base64, obtendo finalmente o código JavaScript executable.


Cifrado dinámico en memoria

  • Tras a decodificación, o payload protéxese mediante cifrado XOR, empregando como clave o identificador único de execución da extensión.
  • Isto garante que o código malicioso só exista na memoria do navegador, sen deixar pegada estática para ferramentas forenses.


Capacidades do malware

Unha vez activo, GhostPoster permite aos atacantes:

  • Executar comandos remotos no navegador da vítima.
  • Inxectar scripts de seguimento, comprometendo a privacidade.
  • Eliminar cabeceiras de seguridade críticas, como Content-Security-Policy (CSP).
  • Secuestrar tráfico web con fins de fraude publicitario ou afiliación.
  • Manter persistencia mediante retardos aleatorios e descargas intermitentes, dificultando a análise dinámica.


As investigacións sinalan a existencia de polo menos 17 extensións diferentes relacionadas coa campaña, todas comunicándose cunha mesma infraestrutura de comando e control (C2).

Principais riscos

  • Compromiso da privacidade das persoas usuarias
  • Manipulación do tráfico web
  • Uso fraudulento do navegador
  • Dificultade de detección por solucións tradicionais de seguridade


Recomendacións de seguridade

  1. Revisar e eliminar extensións innecesarias, especialmente VPN gratuítas.
  2. Instalar extensións unicamente de desenvolvedores verificados.
  3. Manter Firefox e o sistema operativo completamente actualizados.
  4. Empregar solucións de seguridade con análise de comportamento, non só baseadas en sinaturas.
  5. En contornos corporativos, auditar e restrinxir o uso de extensións mediante políticas de seguridade.


Desde o Portal de Ciberseguridade de Galicia recoméndase extremar a precaución ante extensións de navegador aparentemente lexítimas e manterse informado sobre campañas activas como GhostPoster, que demostran un elevado nivel de sofisticación técnica.