El mes pasado, investigadores de Seguridad Koi publicó un análisis detallado de una extensión maliciosa de Firefox que denominaron Póster fantasma – un malware basado en navegador que aprovecha un método de entrega de carga útil poco común y sigiloso: esteganografía dentro de un archivo de icono PNGEste enfoque innovador permitió que el malware evadiera las revisiones de seguridad de extensiones tradicionales y las herramientas de análisis estático.
Tras su publicación, nuestra investigación identificó 17 extensiones adicionales asociadas con la misma infraestructura y tácticas, técnicas y procedimientos (TTP). En conjunto, estas extensiones se descargaron más de veces 840,000, y algunos permanecen activos en estado salvaje durante hasta cinco años.
Descripción técnica: Evasión multietapa y entrega de carga útil
El malware GhostPoster emplea una cadena de infección de varias etapas diseñada para el sigilo y la persistencia:
- Codificación de carga útil:El cargador inicial está integrado en los datos binarios del ícono PNG de una extensión.
- Extracción en tiempo de ejecución:Al instalarse, la extensión analiza el ícono para extraer los datos ocultos, un comportamiento que se desvía de la lógica típica de la extensión.
- Activación retrasada:El malware retrasa la ejecución 48 horas o más, y solo inicia la comunicación C2 bajo condiciones específicas.
- Recuperación de carga útil:El cargador extraído contacta a un servidor C2 remoto para descargar cargas útiles adicionales basadas en JavaScript.
Después de la activación, el malware es capaz de:
- Eliminación e inyección de encabezados HTTP para debilitar las políticas de seguridad web (por ejemplo, CSP, HSTS).
- Secuestro del tráfico de afiliados para la monetización.
- Inyección de iframes y scripts para fraude de clics y seguimiento de usuarios.
- Resolución programática de CAPTCHA e inyección de scripts maliciosos adicionales para un control extendido.
Estas características indican que la campaña no sólo está motivada financieramente sino también técnicamente madura, enfatizando el sigilo operativo y la longevidad.
Infraestructura y atribución de amenazas
La infraestructura descubierta por Koi Security estaba vinculada a 17 extensiones de Firefox, todas con patrones de ofuscación, comportamiento de C2 y estrategias de ejecución retardada similares. Nuestra función automatizada de laboratorio de malware de extensiones confirmó que la misma infraestructura de actor de amenazas también se utilizó para distribuir extensiones en... Tienda de complementos de Google Chrome y Microsoft EdgeNuestro análisis muestra la campaña Se originó en el navegador Microsoft Edge., con posterior expansión a Firefox y Chrome.
Figura 1. Carga de GhostPoster en las tiendas de extensiones del navegador
Las principales conclusiones:
- 17 extensiones confirmadas, con superposición de infraestructura y patrones de carga comunes.
- Más de 840,000 instalaciones acumuladas adicionales en los navegadores Firefox, Chrome y Edge.
- Presencia maliciosa que se remonta a 2020, lo que indica un éxito operativo a largo plazo, eludiendo todos los controles de seguridad de las tiendas de los principales navegadores.
- Variantes que utilizan mecanismos de entrega alternativos, lo que sugiere una continua experimentación y adaptación.
Análisis de variantes extendido: preparación de carga útil basada en scripts de fondo
Más allá de las extensiones identificadas previamente, observamos una variante más sofisticada y evasiva asociada a la misma campaña, que por sí sola representó 3,822 instalaciones.
Figura 2. Extensión de Firefox disponible para descargar en la tienda.
En esta iteración, la lógica maliciosa se integra en el script en segundo plano y utiliza un archivo de imagen incluido en la extensión como contenedor de carga útil encubierto. En tiempo de ejecución, el script en segundo plano obtiene la imagen y escanea su secuencia de bytes sin procesar en busca del delimitador. [ 62,62,62,62 ] – correspondiente a la cadena ASCII '>>>>'Todos los datos que siguen a este marcador se decodifican como texto y se almacenan de forma persistente en chrome.storage.local bajo la clave instlogo.
Figura 3. Lectura de contenido .png, decodificación y guardado en almacenamiento local.
Los datos almacenados se recuperan posteriormente, se decodifican en Base64 y se ejecutan dinámicamente como una carga útil adicional de JavaScript.
Figura 4. Carga útil .png decodificada.
Este script secundario introduce mayor evasión al permanecer inactivo durante aproximadamente cinco días antes de iniciar la actividad de red. Al activarse, obtiene contenido de un servidor remoto y extrae datos proporcionados por el servidor almacenados como... Claves codificadas en Base64y ejecuta el contenido decodificado, lo que permite actualizaciones continuas de la carga útil y un control extendido.
Figura 5. Carga útil PNG: lectura desde el almacenamiento local y decodificación de la siguiente etapa.
Este flujo de ejecución por etapas demuestra una clara evolución hacia una mayor latencia, modularidad y resiliencia frente a mecanismos de detección estáticos y conductuales.
Persistencia después del derribo
Si bien Mozilla y Microsoft han eliminado las extensiones maliciosas conocidas de sus respectivas tiendas, Las extensiones ya instaladas en los sistemas de los usuarios permanecen activas A menos que el usuario lo elimine explícitamente. Esta persistencia subraya las limitaciones de las eliminaciones de tiendas como estrategia de contención, en particular para el malware que emplea activación retardada y entrega modular de carga útil.
IOCs
| ID | Nombre | Se instala |
| maiackahflfnegibhinjhpbgeoldeklb |
Recortador de capturas de pantalla de página |
86 |
| kjkhljbbodkfgbfnhjfdchkjacdhmeaf |
Captura de pantalla de la página completa |
2,000 |
| ielbkcjohpgmjhoiadncabphkglejgih |
Convertir todo |
17,171 |
| obocpangfamkffjllmcfnieeoacoheda |
Traducir texto seleccionado con Google |
159,645 |
| dhnibdhcanplpdkcljgmfhbipehkgdkk |
Descargar Youtube |
11,458 |
| gmciomcaholgmklbfangdjkneihfkddd |
RSS Feed |
2,781 |
| fbobegkkdmmcnmoplkgdmfhdlkjfelnb |
Bloqueador de anuncios Ultimate |
48,078 |
| onlofoccaenllpjmalbnilfacjmcfhfk |
AdBlocker |
10,155 |
| bmmchpeggdipgcobjbkcjiifgjdaodng |
Potenciador de color |
712 |
| knoibjinlbaolannjalfdjiloaadnknj |
Reproductor flotante – Modo PiP |
40,824 |
| jihipmfmicjjpbpmoceapfjmigmemfam |
Traducir con una sola tecla |
10,785 |
| ajbkmeegjnmaggkhmibgckapjkohajim |
Cursor genial |
2,254 |
| fcoongackakfdmiincikmjgkedcgjkdp |
Traductor de Google en clic derecho |
522,398 |
| fmchencccolmmgjmaahfhpglemdcjfll |
Traducir el texto seleccionado con clic derecho |
283 |
| historial de precios de Amazon |
Historial de precios de Amazon |
1,197 |
guardar imagen en pinterest |
Guardar imagen en Pinterest al hacer clic derecho |
6,517 |
descarga de instagram |
Descargador de Instagram |
3,807 |
TTP
| Táctica | Tecnologia |
| Evasión de defensa | LX7.011 (T1036) – Enmascaramiento |
| Evasión de defensa | LX7.003 (T1140) – Ofuscación/Desofuscación de Código |
| Evasión de defensa | LX7.004 (T1678) – Retrasar la ejecución |
| Evasión de defensa | LX7.005 – Evadir las comprobaciones del lado del servidor |
| Descubrimiento: | LX9.005 (T1217) – Descubrimiento de información del navegador |
Recommendations
Los profesionales de seguridad, los defensores empresariales y los desarrolladores de navegadores deben tomar las siguientes medidas:
- Extensiones de auditoría dentro de entornos administrados, especialmente aquellos instalados fuera de los controles de políticas.
- Despliegue tecnologías de monitoreo de extensiones basadas en el comportamiento para detectar actividad de red no autorizada o manipulación sospechosa del DOM.
