AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Descubiertas 17 nuevas extensiones maliciosas vinculadas a GhostPoster en Chrome, Firefox y Edge: más de 840.000 instalaciones

admin

#### Introducción

El ecosistema de extensiones de navegador continúa siendo un blanco atractivo para campañas de software malicioso y adware avanzado. Recientemente, investigadores de ciberseguridad han identificado un nuevo conjunto de 17 extensiones maliciosas relacionadas con la campaña GhostPoster, detectadas en las tiendas oficiales de Chrome, Firefox y Edge. Estas extensiones, que han acumulado en conjunto más de 840.000 instalaciones, ponen de relieve la sofisticación y el alcance de las amenazas que afectan a usuarios y organizaciones por igual.

#### Contexto del Incidente

GhostPoster no es una amenaza inédita; se trata de una campaña activa desde al menos 2022, caracterizada por la utilización de extensiones de navegador para secuestrar cuentas, propagar anuncios maliciosos y manipular sesiones web. En este último hallazgo, las 17 nuevas extensiones detectadas han logrado sortear los controles de seguridad de las principales tiendas de navegadores, ampliando así la superficie de ataque y el riesgo de explotación masiva.

El descubrimiento fue realizado por investigadores de ciberseguridad que monitorizaban patrones de actividad sospechosa y correlacionaron los IoC (Indicadores de Compromiso) con campañas previas de GhostPoster. La distribución de estas extensiones se ha hecho tanto mediante técnicas de SEO poisoning como a través de publicidad engañosa en sitios web frecuentados por usuarios finales y entornos corporativos.

#### Detalles Técnicos

Las extensiones maliciosas identificadas afectan a las siguientes versiones de navegadores:

– **Google Chrome**: versiones 114.x a 124.x
– **Mozilla Firefox**: versiones 110.x a 125.x
– **Microsoft Edge**: versiones 112.x a 124.x

Estas extensiones emplean técnicas de evasión para evitar la detección, como la ofuscación de código JavaScript, el uso de dominios C2 rotativos y la integración de módulos que sólo activan la funcionalidad maliciosa en determinados dominios o bajo condiciones específicas (user-agent, idioma, localización IP).

**Vectores de ataque**:
El principal vector identificado es la instalación voluntaria por parte del usuario, inducida mediante técnicas de ingeniería social y, en menor medida, mediante campañas de phishing que suplantan actualizaciones legítimas. Una vez instaladas, las extensiones solicitan permisos excesivos (lectura/escritura de datos en todos los sitios, gestión de pestañas, acceso a cookies y almacenamiento local).

**TTP MITRE ATT&CK**:
– **T1185**: Browser Extensions
– **T1071.001**: Application Layer Protocol: Web Protocols
– **T1566**: Phishing
– **T1082**: System Information Discovery

**Indicadores de Compromiso (IoC)**:
– Hashes de extensiones (.crx, .xpi) identificados y compartidos en plataformas como VirusTotal y GitHub.
– Dominios C2 asociados: ghostposter[.]xyz, api-sync[.]top, staticassetscdn[.]com.
– Patrones de URL de comando y control embebidos en el código fuente de las extensiones.

**Exploits conocidos y frameworks**:
No se han identificado exploits específicos fuera del abuso de APIs del navegador, aunque el código analizado presenta componentes compatibles con frameworks de automatización y explotación, como Puppeteer y Selenium, para la manipulación de sesiones y robo de credenciales.

#### Impacto y Riesgos

El alcance de la amenaza es significativo: más de 840.000 instalaciones representan un vector de ataque masivo, tanto en entornos domésticos como corporativos. Los riesgos incluyen:

– **Secuestro de sesiones**: Robo de tokens de autenticación, secuestro de cuentas corporativas (O365, Google Workspace).
– **Exfiltración de datos sensibles**: Credenciales, información personal y datos de navegación.
– **Distribución de adware y malvertising**: Inyección de anuncios fraudulentos y redirección a sitios de phishing.
– **Persistencia y escalada de privilegios**: Uso de permisos para monitorizar y manipular el tráfico web.

Según estimaciones, cerca del 60% de las instalaciones se concentran en entornos profesionales, incrementando la exposición a fugas de datos y potenciales sanciones bajo el GDPR. Las pérdidas económicas asociadas a campañas similares han superado los 3 millones de euros en incidentes reportados durante 2023.

#### Medidas de Mitigación y Recomendaciones

– **Desinstalación inmediata** de las extensiones afectadas, cuyas listas de hashes están disponibles en los repositorios de threat intelligence y CERTs nacionales.
– **Auditoría periódica** de las extensiones instaladas en los endpoints mediante herramientas EDR/MDM.
– **Restricción de permisos**: Configuración de políticas de grupo (GPO) para limitar la instalación de extensiones no autorizadas.
– **Revisión de logs**: Análisis de logs de acceso y eventos de navegador para identificar actividad anómala.
– **Formación y concienciación**: Campañas internas sobre los riesgos de instalar extensiones de fuentes no verificadas.

#### Opinión de Expertos

Especialistas en ciberinteligencia, como los equipos de ThreatLabz y Malwarebytes, advierten que las campañas basadas en extensiones de navegador seguirán evolucionando, aprovechando la falta de controles adecuados en los marketplaces y la baja percepción de riesgo por parte de los usuarios. Recomiendan la integración de módulos de detección de comportamiento en los navegadores corporativos y la monitorización continua de IoC.

#### Implicaciones para Empresas y Usuarios

La presencia masiva de estas extensiones en entornos corporativos puede abrir la puerta a incidentes de seguridad con impacto en la continuidad de negocio, la reputación y el cumplimiento normativo (GDPR, NIS2). Para los usuarios, el riesgo de suplantación de identidad, robo de datos y exposición a fraudes online es considerablemente alto.

Las organizaciones deben reforzar sus políticas de hardening, implementar controles de aplicaciones y promover una cultura de seguridad proactiva. Además, es crucial mantener una comunicación fluida con los proveedores de software para recibir alertas tempranas y aplicar parches de seguridad.

#### Conclusiones

El hallazgo de estas 17 extensiones maliciosas vinculadas a GhostPoster subraya la necesidad de una vigilancia constante en el ecosistema de extensiones de navegador. La sofisticación de las técnicas empleadas y el elevado número de instalaciones demuestran que las amenazas evolucionan más rápido que los sistemas de control actuales. Las empresas y los usuarios deben priorizar la seguridad y adoptar un enfoque preventivo ante este tipo de riesgos emergentes.

(Fuente: www.bleepingcomputer.com)