Les extensions de navegador han esdevingut una eina quotidiana per a milions d'usuaris que volen millorar la seva experiència a Chrome, Firefox o Edge. Serveixen per traduir pàgines, bloquejar anuncis, gestionar contrasenyes o guanyar rapidesa en navegar, i en general s'instal·len amb un parell de clics des de les botigues oficials. Just per aquesta comoditat, moltes persones amb prou feines revisen qui està darrere de cada complement o quins permisos sol·licita.
Aquesta distracció obre la porta perquè els ciberdelinqüents utilitzin les extensions com canal silenciós per espiar i robar dades. Una campanya recent, batejada com a GhostPoster, ha deixat clar fins a quin punt aquest vector és perillós: les extensions fraudulentes s'integren com si fossin legítimes, funcionen amb normalitat aparent i poden romandre actives durant anys sense aixecar sospites mentre vigilen l'activitat de l'usuari.
Què és la campanya GhostPoster i per què preocupa
Investigacions de diverses firmes de ciberseguretat, entre elles KOI i LayerX, han tret a la llum una operació a gran escala que aprofita les botigues oficials d'extensions de Mozilla Firefox, Google Chrome i Microsoft Edge. Sota la campanya GhostPoster, s'han identificat desenes de complements que, en conjunt, superen les 840.000 instal·lacions a tot el món, una xifra que dóna idea de l'abast del problema.
Aquestes extensions malicioses es presenten com a eines dús corrent: traductors de pàgines, bloquejadors de publicitat, suposades VPN o utilitats per gestionar descàrregues. Un cop instal·lades, s'executen en segon pla, monitoritzant el que fa la víctima al navegador, accedint a dades de navegació i, en alguns casos, habilitant portes del darrere que permeten el control remot de l'equip.
El que és especialment preocupant és que moltes d'aquestes extensions han estat disponibles durant un llarg període en els catàlegs oficials, cosa que significa que han passat els filtres de revisió de Chrome Web Store, Firefox Add-ons i la botiga d'Edge. Segons les anàlisis difoses, algunes porten operatives des del 2020, cosa que ha permès que la campanya es mantingui activa de forma sostinguda i sense grans sobresalts.
Dins GhostPoster, els experts han identificat a més una variant més avançada i evasiva que, per si sola, ha aconseguit més de 3.800 instal·lacions. Aquesta branca destaca per la seva capacitat per esquivar controls i barrejar-se entre extensions aparentment legítimes, fent encara més difícil que els usuaris percebin que alguna cosa no va bé.
Com funcionen les extensions malicioses darrere de GhostPoster
Les extensions de navegador, siguin de Chrome, Firefox o Edge, s'integren de manera profunda amb el programari i poden llegir i modificar el contingut de les pàgines web, accedir a galetes, historials i, en alguns casos, interactuar amb el sistema operatiu. Quan una extensió està ben dissenyada, tot això serveix per aportar funcions útils; quan és maliciosa, aquest mateix accés es converteix en una arma de precisió per als atacants.
En el cas de GhostPoster, la clau és que el component nociu s'amaga acuradament. Les investigacions assenyalen que els responsables de la campanya amaguen part del codi JavaScript dins la imatge PNG de la icona de l'extensió. Aquesta tècnica, coneguda com a esteganografia, permet camuflar informació en arxius aparentment innocus, de manera que a simple vista només es veu un logo normal, però al seu interior s'allotja el codi que després s'executarà.
Aquest codi ocult s'activa un cop instal·lada l'extensió i s'encarrega de espiar lactivitat de lusuari en temps real. Podeu registrar quines pàgines es visiten, quins formularis s'emplenen o quins serveis s'utilitzen, així com interceptar informació sensible com credencials o tokens de sessió. En determinats casos, també descarrega mòduls addicionals que acaben per obrir una porta del darrere a l'equip afectat, atorgant als atacants la capacitat de connectar-se a distància.
En utilitzar esteganografia, els ciberdelinqüents aconsegueixen que el component maliciós passi relativament desapercebut durant les revisions automatitzades de les botigues d'extensions. Els sistemes danàlisi solen revisar el codi visible i el comportament declarat, però poden no detectar que dins una simple imatge s'amaga el veritable nucli de l'atac. Aquest enfocament incrementa la dificultat per a les plataformes que intenten frenar la publicació de complements fraudulents.
A més, els complements vinculats a GhostPoster imiten amb força fidelitat les funcions de les eines legítimes a què diuen assemblar-se. Ofereixen, per exemple, traducció de pàgines o bloqueig bàsic d'anuncis, cosa que reforça la sensació de normalitat. Mentre l'usuari creu que està utilitzant una extensió útil, en segon pla, s'està generant un flux constant d'informació cap als servidors controlats per l'atacant.
El paper de KOI i LayerX al descobriment de la campanya
El destapi de GhostPoster no s'ha produït de la nit al dia. Durant desembre, els analistes de la signatura de seguretat KOI van detectar un primer grup de 17 extensions malicioses publicades a la botiga oficial de Mozilla Firefox. Totes s'orientaven a usuaris que cercaven utilitats comuns i, en conjunt, sumaven més de 50.000 descàrregues.
Poc després, l'empresa de ciberseguretat LayerX va continuar amb la investigació i va localitzar un altre paquet de 17 complements similars distribuïts a través dels catàlegs de Microsoft Edge i Google Chrome. En afegir aquestes noves deteccions, la xifra total d'instal·lacions associades a GhostPoster es va disparar fins a superar les 840.000 entre els tres navegadors, fet que configura una campanya amb un impacte global gens menyspreable.
Els informes publicats detallen que totes aquestes extensions compartien patrons de comportament i estructures tècniques molt semblants, fet que va portar a concloure que formaven part d'un mateix esquema coordinat. Entre els objectius identificats hi ha la vigilància en temps real de la navegació, la recol·lecció massiva de dades i la introducció silenciosa de portes del darrere als equips.
Durant l'anàlisi, KOI i LayerX van destacar que l'operació GhostPoster no és un incident aïllat, sinó la mostra de una estratègia sostinguda durant diversos anys per explotar l´ecosistema d´extensions. Els investigadors subratllen que la combinació d'un gran volum d'instal·lacions i una detecció tardana ha permès que els atacants mantinguessin les campanyes actives amb un marge de maniobra ampli.
Els mateixos proveïdors de navegadors s'enfronten, segons els experts, a una tasca complexa: detectar eines malicioses que imiten serveis molt populars. Tot i que hi ha controls automatitzats i processos de revisió, l'experiència demostra que no sempre són suficients per frenar extensions que adopten tàctiques avançades d'ocultació com les vistes a GhostPoster.
Qui hi ha al darrere: el grup Darkspectre i les seves campanyes prèvies
La investigació assenyala un actor ben conegut en l'àmbit de la ciberseguretat: Darkspectre. Aquest grup fa anys que utilitza extensions de navegador per distribuir codi maliciós (malware) i se li atribueixen operacions anteriors com ShadyPanda i The Zoom Stealer, que comparteixen recursos tècnics i infraestructura amb GhostPoster.
Segons les dades recopilades, Darkspectre ha anat perfeccionant les tàctiques amb el pas del temps. Les campanyes prèvies ja mostraven un interès especial per infiltrar-se a través de canals aparentment de confiança, com les botigues oficials de complements. En aquest sentit, GhostPoster seria una evolució d'una línia de treball que busca maximitzar l'abast sense aixecar alarmes immediates.
LayerX explica que el seguiment de la infraestructura utilitzada a GhostPoster, ShadyPanda i The Zoom Stealer ha permès documentar l'evolució tècnica d'aquestes amenaces. Els investigadors han observat com es reutilitzen dominis, servidors i fragments de codi en diferents atacs, adaptant les eines a les mesures de seguretat que van implementant les plataformes.
Un dels elements que més preocupa les firmes de seguretat és que algunes extensions vinculades a Darkspectre haurien estat actives des del 2020 sense ser detectades. Aquesta persistència posa en relleu tant la sofisticació dels atacants com les limitacions dels sistemes automàtics de revisió, que no sempre són capaços d'identificar patrons maliciosos quan s'amaguen en components poc habituals, com ara les icones gràfiques.
Els informes també recullen que, des del punt de vista operatiu, GhostPoster es recolza en tècniques d'evasió molt refinades. Entre elles s'hi inclouen la càrrega diferida de components, l'activació només sota determinades condicions de navegació o l'ús de comunicacions discretes amb els servidors de comandament i control. Tot això contribueix a reduir el soroll i mantenir-se fora del radar durant el major temps possible.
Extensions, un vector d'atac cada cop més habitual
Més enllà de GhostPoster, els experts fa temps que adverteixen que les extensions són un objectiu recurrent per als ciberdelinqüents. La seva popularitat i confiança que generen en procedir, en teoria, de botigues oficials, les converteixen en un canal ideal per colar programari maliciós sense que l'usuari sospiti.
En molts casos, les víctimes descarreguen aquests complements perquè prometen funcions atractives i gratuïtes: eliminar publicitat invasiva, millorar la privadesa, accelerar el navegador o automatitzar tasques repetitives. El problema és que, un cop concedits els permisos, l‟extensió pot accedir a un volum considerable d‟informació sense necessitat de tornar a demanar autorització.
Les campanyes com GhostPoster demostren que, fins i tot quan l'extensió compleix part del que promet, pot estar duent a terme activitats ocultes. És a dir, el complement pot bloquejar anuncis o traduir pàgines de manera normal, però simultàniament recopilar dades de navegació, interceptar credencials o comunicar-se amb servidors externs per descarregar noves instruccions.
L'ús de tècniques com l'esteganografia en imatges o l'execució de codi ofuscat dificulta molt la tasca d'anàlisi. Els sistemes de seguretat tradicionals tendeixen a cercar patrons coneguts, però quan el codi maliciós s'amaga en fitxers gràfics o es distribueix en petites porcions entre diversos components, la identificació es torna molt més complicada.
Aquest escenari obliga tant els desenvolupadors de navegadors com les botigues d'extensions a reforçar els mecanismes de verificació. Els experts apunten que caldrà combinar anàlisis automatitzades més profundes, auditories manuals i un seguiment més gran del comportament real de les extensions una vegada publicades, especialment en aquelles que aconsegueixen un nombre elevat d'instal·lacions en poc temps.
Impacte per a usuaris d'Europa i recomanacions bàsiques
La campanya GhostPoster té un abast global, però afecta també usuaris d'Espanya i de la resta d'Europa, on Chrome, Firefox i Edge concentren la pràctica totalitat de l'ús de navegadors en entorns domèstics i professionals. Qualsevol persona que hagi instal·lat extensions de traducció, bloqueig d'anuncis o VPN en els darrers anys podria haver estat exposada si el complement formava part de la llista maliciosa.
Les autoritats i els equips de resposta europeus prenen com a referència els informes d'empreses com KOI i LayerX per actualitzar les vostres alertes i normes de seguretat informàtica. La recomanació general és revisar periòdicament les extensions instal·lades i desinstal·lar aquelles que no s'utilitzin o de les quals no se'n tingui clar l'origen. No és estrany acumular complements que es van fer servir una vegada i van quedar oblidats, però que segueixen tenint accés al navegador.
Per reduir riscos, els especialistes aconsellen prioritzar extensions desenvolupades per entitats reconegudes, comprovar les valoracions i el nombre dusuaris, i desconfiar de solucions que prometen massa funcions en un únic paquet. També es recomana revisar els permisos sol·licitats abans d'instal·lar, especialment quan un complement demana accés complet a totes les dades de navegació sense que sembli estrictament necessari.
A l'àmbit empresarial, on la navegació sol implicar accés a informació sensible i serveis interns, les organitzacions europees estan incorporant polítiques específiques per a controlar quines extensions es poden utilitzar als equips corporatius. Entre les mesures habituals hi ha la creació de llistes blanques de complements permesos, la supervisió centralitzada i l'ús de solucions de seguretat capaces de monitoritzar l'activitat als navegadors.
Per als usuaris particulars que sospitin haver instal·lat una extensió potencialment maliciosa, els experts recomanen eliminar el complement, passar una anàlisi amb un antivirus fiable i, si persisteixen els dubtes, acudir a un professional especialitzat en ciberseguretat. En campanyes complexes com GhostPoster, pot ser que la simple desinstal·lació no sigui suficient si s'ha arribat a instal·lar codi maliciós addicional al sistema.
El cas de GhostPoster posa sobre la taula fins a quin punt la confiança cega a les botigues oficials d'extensions pot resultar arriscada. Encara que continuïn sent el canal més segur davant de descàrregues des de webs desconegudes, l'experiència mostra que no són infal·libles i que els atacants saben adaptar-se als controls. La combinació d‟un ús més crític per part dels usuaris, processos de revisió més exigents i una vigilància continuada per part de les empreses de seguretat serà clau per frenar campanyes similars en el futur.
