Cuando el logo resulta más peligroso que la aplicación: hallan 17 complementos de Firefox con una "sorpresa" oculta.
Un código malicioso pasó meses sin ser detectado porque los hackers lo ocultaron a plena vista.
Los especialistas de Koi Security registraron una nueva campaña maliciosa llamada GhostPoster, dirigida a usuarios del navegador Firefox. En el marco de esta campaña los atacantes distribuyeron extensiones que a simple vista parecían inofensivas e incluso alcanzaron decenas de miles de instalaciones, pero contenían una amenaza oculta. Lo inusual del ataque radica en la forma de ocultación: el código malicioso estaba escondido directamente en archivos gráficos con los logotipos de los complementos.
Se trata al menos de 17 extensiones. En todos los casos, el logotipo en formato PNG se utilizó como contenedor para código JavaScript, incrustado mediante esteganografía. Este código actuaba como cargador y proporcionaba acceso persistente al navegador con privilegios elevados. Tras activarse, permitía interceptar enlaces de afiliados, inyectar código analítico de terceros y participar en publicidad y fraude de clics.
Para dificultar su detección, el cargador permanecía inactivo la mayor parte del tiempo y se conectaba al servidor remoto solo en uno de cada diez casos. Además, se activaba solo 48 horas después de la instalación de la extensión. La carga útil principal se descargaba desde un dominio predefinido, y en caso de fallo se usaba una dirección alternativa. El código recibido pasaba por un procesamiento en varias etapas: ofuscación, decodificación desde base64 y cifrado adicional con una clave vinculada al identificador de la extensión.
Aunque las cadenas de carga podían variar, todas las extensiones detectadas mostraban un comportamiento similar y se comunicaban con una misma infraestructura de control. Entre las extensiones comprometidas se encontraban categorías populares, incluidas las de servicios VPN, traductores, informadores meteorológicos y herramientas para trabajar con páginas web.
El módulo malicioso final no se dedicaba al robo de contraseñas ni redirigía a los usuarios a sitios de phishing, pero socavaba significativamente la privacidad. Insertaba iframes ocultos para publicidad, eliminaba cabeceras de seguridad HTTP, eludía los sistemas CAPTCHA y añadía seguimiento de las páginas visitadas.
Según Koi Security, el mecanismo de entrega empleado en GhostPoster hace que la campaña sea especialmente peligrosa, ya que en cualquier momento el operador puede reemplazar la carga por una más destructiva. Se recomienda a los usuarios que instalaron las extensiones mencionadas que las eliminen y cambien las contraseñas de las cuentas importantes.
Al momento de preparar este material, parte de las extensiones maliciosas aún permanecía disponible en el catálogo Firefox Add-ons. Mozilla fue notificada de la situación, pero la empresa no ofreció un comentario inmediato.
¿Estás cansado de que Internet sepa todo sobre ti?