Una nueva y sofisticada campaña de malware, denominada "GhostPoster", ha sido descubierta, utilizando una ingeniosa técnica de esteganografía para comprometer a aproximadamente 50.000 usuarios de Firefox. El vector de ataque involucra principalmente extensiones de navegador que parecen inocuas, como "Free VPN Forever", que ocultan cargas útiles maliciosas dentro de sus propios iconos de interfaz. A diferencia del malware tradicional que depende de descargas externas o inyecciones de scripts obvias, GhostPoster integra su lógica de ejecución inicial directamente en los bytes sin procesar de un archivo PNG, evitando así los escáneres de seguridad y las reseñas de los mercados que normalmente tratan los archivos de imagen como activos benignos. El proceso de infección comienza cuando la extensión comprometida carga su archivo logo.png durante el funcionamiento normal.

 

 

 

En lugar de simplemente mostrar la imagen, el código de la extensión lee los datos binarios del archivo y busca un marcador oculto específico, identificado como la secuencia 0x3D 0x3D 0x3D (== =). Una vez activado, este mecanismo extrae código JavaScript oculto que inicia una cadena de infección de múltiples etapas. Este enfoque sigiloso permite que el malware persista en el navegador de la víctima, permitiendo a los operadores ejecutar comandos remotos, eliminar encabezados de seguridad y secuestrar el tráfico del usuario para fraude de afiliados sin levantar alarmas. Los analistas de Koi notaron que la campaña abarca al menos 17 extensiones, todas comunicándose con la misma infraestructura de comando y control, incluyendo liveupdt.com. Estos investigadores encontraron que el malware no solo comprometió la privacidad del usuario al inyectar scripts de seguimiento, sino que también deshabilitó protecciones críticas del navegador, como los encabezados Content-Security-Policy. Al eliminar estas salvaguardas, los atacantes expusieron a los usuarios a riesgos adicionales, incluyendo scripting entre sitios y clickjacking, mientras generaban silenciosamente ingresos ilícitos a través de redirecciones forzadas a sitios de comercio electrónico. Las extensiones a menudo permanecían inactivas durante días, utilizando activadores basados en el tiempo para evitar la detección inmediata durante la fase inicial de instalación.

El Mecanismo de Desencriptación

El aspecto más técnicamente intrigante de GhostPoster es su rutina de decodificación personalizada que desempaqueta la carga útil recuperada de sus servidores de comando y control. Después de que el cargador inicial recupera los datos cifrados, aplica un algoritmo de transformación único de tres pasos para reconstruir el JavaScript ejecutable. El proceso implica intercambiar todas las letras minúsculas a mayúsculas y viceversa, intercambiar los números '8' y '9', y finalmente realizar una decodificación Base64. Esta ofuscación es computacionalmente simple pero efectiva para evadir la detección de firmas estáticas. Después de este paso de decodificación, la carga útil se procesa aún más utilizando el cifrado XOR derivado del ID de tiempo de ejecución único de la extensión. Esto asegura que el código descifrado exista solo en la memoria del navegador, sin dejar una huella de archivo estática para que las herramientas forenses lo analicen. El malware introduce intencionalmente retrasos aleatorios y solo recupera la carga útil ocasionalmente, lo que dificulta el análisis dinámico para los equipos de seguridad que intentan replicar la infección en un entorno controlado.

Fuentes:
https://cybersecuritynews.com/new-ghostposter-attack-leverages-png-icon/