Detectamos 17 extensiones de VPN maliciosas que afectan a 840 mil usuarios

Investigadores han descubierto 17 extensiones maliciosas para navegadores como Firefox, Chrome y Edge, que han infectado a más de 840 mil usuarios. La campaña, llamada GhostPoster, oculta códigos maliciosos dentro de archivos de imagen. La vulnerabilidad se encuentra en el proceso de revisión de las extensiones.

El mes pasado, la empresa Koi Security publicó un informe sobre una extensión para Firefox, denominada Free VPN Forever. El estudio destacó que aunque cada extensión posee un logotipo para reconocimiento, raramente consideramos lo que está escondido dentro de ese archivo.

Cómo GhostPoster oculta malware en extensiones

Los cibercriminales utilizaron una técnica conocida como esteganografía, que es el arte de ocultar información en archivos aparentemente inocentes. Insertaron un código JavaScript malicioso después de los datos de la imagen PNG, haciendo que el ícono visualmente fuese normal, pero funcionara como una entrada para los atacantes.

Después de la exposición inicial por parte de Koi Security, la empresa LayerX investigó y descubrió que el problema era más amplio. Al rastrear la infraestructura de las extensiones, identificaron 17 extensiones adicionales que utilizaban los mismos servidores y tácticas.

Estas extensiones, en conjunto, fueron instaladas más de 840 mil veces. Algunas permanecieron activas en los dispositivos durante casi cinco años de manera pasiva, evidenciando las limitaciones de los métodos de seguridad actuales.

VPNs gratis son los principales objetivos de infecciones por malware

La campaña no comenzó en Firefox; sus actividades iniciales fueron rastreadas en Microsoft Edge y se expandieron a Chrome y Firefox con el tiempo. La expansión gradual sugiere una operación a largo plazo que priorizó la persistencia y no ganancias inmediatas.

Aunque GhostPoster no utiliza técnicas revolucionarias, combina diversas capas de evasión que dificultan su detección. El código malicioso estaba escondido después del marcador "===" en el archivo PNG del logotipo. Herramientas de análisis estático que examinan códigos JavaScript simplemente no consideran el contenido de archivos de imagen.

El código adicional no era el malware final, sino un cargador, un programa pequeño cuya función era buscar el payload real en servidores controlados por los atacantes. Esta estructura significa que el malware nunca existe como un archivo estático, haciéndose invisible a análisis tradicionales.

El malware presenta un comportamiento engañoso

Además, el malware fue diseñado para ser inconsistente. Espera 48 horas entre intentos de conexión, descarga el payload real solo el 10% de las veces y espera 6 días después de la instalación para ser activado. Esta aleatoriedad dificulta la detección por sistemas antivirus.

Cuando el payload finalmente llega al servidor, está codificado con un esquema único que cambia letras mayúsculas y minúsculas, invierte números y cifra utilizando una clave específica para cada navegador.

Una vez instalado, GhostPoster se conecta silenciosamente a diversas plataformas y monitorea la navegación de los usuarios, especialmente en sitios de e-commerce. Sustituye códigos de comisión de enlaces de afiliados, haciendo que los operadores del malware obtengan ganancias a expensas del afiliado legítimo.

Además, el malware inyectó un código de seguimiento de Google Analytics en todas las páginas visitadas. También crea elementos HTML invisibles con datos de instalación e interacciones del usuario, mientras elimina encabezados de seguridad HTTP de todas las respuestas, volviendo a los usuarios susceptibles a otros ataques.

El malware aún tiene métodos para eludir desafíos CAPTCHA, esenciales para evitar la detección por sistemas de seguridad.

La creciente amenaza de extensiones maliciosas

GhostPoster no es un caso aislado. Semanas antes, LayerX expuso otra extensión, Urban VPN Proxy, que afectó a más de 8 millones de usuarios al recopilar datos de conversaciones con Inteligencias Artificiales. Antes de eso, la extensión FreeVPN.One, con más de 100 mil instalaciones, también fue descubierta capturando capturas de pantalla de información sensible de los usuarios.

Tras la difusión de esta información, Mozilla y Microsoft eliminaron las extensiones identificadas de sus tiendas, pero estas fueron eliminadas solo para nuevas descargas. Aquellos que ya están instalados continúan operando, indicando que cientos de miles de usuarios pueden permanecer desinformados y vulnerables.

Los efectos del descubrimiento de estas extensiones maliciosas destacan la necesidad urgente de procesos de revisión más robustos para proteger a los usuarios y la integridad de las plataformas.