La amenaza invisible: así es como extensiones maliciosas infectan miles de navegadores para robar información personal

Las extensiones maliciosas vinculadas a la campaña GhostPoster han sido detectadas en más de 840.000 instalaciones en los navegadores Firefox, Chrome y Edge. Desde allí, operan de forma encubierta en segundo plano, monitorizando la actividad de los usuarios afectados.

GhostPoster es una campaña que se vale de extensiones fraudulentas para espiar a sus víctimas e instalar puertas traseras en sus equipos. Para lograrlo, emplea código JavaScript que permanece oculto de manera eficaz dentro de la imagen PNG del logotipo de la extensión, utilizando técnicas de esteganografía.

En diciembre, analistas de la firma de seguridad KOI identificaron 17 extensiones maliciosas en Mozilla Firefox que se presentaban como servicios populares, como traductores, bloqueadores de anuncios o VPN. Estas aplicaciones llegaron a acumular más de 50.000 descargas.

La campaña estaría dirigida por un actor malicioso conocido como Darkspectre. Foto: Getty Images

Como continuación de esa investigación, la empresa de ciberseguridad LayerX descubrió otro grupo de 17 extensiones maliciosas relacionadas con GhostPoster, distribuidas esta vez a través de las tiendas oficiales de Microsoft Edge y Google Chrome. En conjunto, estas extensiones superan las 840.000 instalaciones entre los tres navegadores.

Cuidado con su celular: señales claras de que un hacker podría estar vigilándolo

Dentro de esta campaña, los investigadores de LayerX también alertan sobre una variante “más sofisticada y evasiva”, que por sí sola ha alcanzado más de 3.800 instalaciones.

Detrás de GhostPoster estaría un actor malicioso conocido como Darkspectre, que en los últimos años se ha especializado en la distribución de malware mediante extensiones para navegadores web. Este grupo también ha operado a través de campañas como ShadyPanda y The Zoom Stealer, que, aunque empleaban técnicas y perseguían objetivos distintos, compartían infraestructura con GhostPoster.

La campaña GhostPoster ha logrado infiltrarse en más de 840.000 instalaciones de extensiones en los navegadores. Foto: Getty Images

Según LayerX, algunas de estas extensiones han estado disponibles en las tiendas oficiales de los navegadores desde 2020. Este hallazgo coincide con lo señalado previamente por KOI, que calificó las campañas de Darkspectre como “las más grandes y sofisticadas”, desarrolladas a través de operaciones sostenidas durante varios años.

*Con información de Europa Press.