Las extensiones de navegador son pequeños programas que se añaden a Chrome, Firefox o Edge para ampliar sus funciones. Muchas personas las utilizan a diario para tareas comunes como traducir páginas, bloquear anuncios, descargar imágenes en un mismo tipo de formato o navegar de forma más rápida, entre otras. El problema es que al integrarse de forma directa con el navegador, también puede convertirse en una vía de ataque para los ciberdelincuentesalgo que ya hemos hablado desde 20bits en más de una ocasión.
Si una extensión es maliciosa, puede funcionar con normalidad sin que el usuario se dé cuenta y mientras tanto recopilar información personal o controlar parte de la actividad en internet durante mucho tiempo. Dentro de este contexto se sitúa FantasmaCarteluna campaña de ciberataques basada en extensiones maliciosas.
Cómo funciona GhostPoster
Las investigaciones realizadas por varias empresas de seguridad (KOI y CapaX) han revelado que estas extensiones han alcanzado más de 840.000 instalaciones en total en los navegadores de Mozilla Firefox, Google Chrome y Microsoft Edge. Cuando se instalan, operan en segundo plano para vigilar lo que hace la víctima en el navegador y, en algunos casos, abrir una puerta trasera que permite a los atacantes acceder al ordenador.
Explican que una de las características más peligrosas es que logra ocultar su código malicioso y para evitar ser detectadolas extensiones esconden parte de su código JavaScript dentro de la imagen PNG que se utiliza como logotipo. Esta técnica se conoce como esteganografía, una técnica que permite ocultar información dentro de archivos que parecen normaleslo que dificulta su análisis y detección por parte de los sistemas de seguridad.
Proceso de la investigación
- En diciembre de 2025, los analistas de KOI identificaron 17 extensiones maliciosas en la tienda de Mozilla Firefox.
- Estas aplicaciones se presentaban como herramientas legítimas y muy comunes (traductores, bloqueadores de anuncios…) superando las 50.000 descargas.
- Tras estos hallazgos, LayerX detecta otro grupo de 17 extensiones relacionadas con GhostPoster en las tiendas de Chrome y Edge.
- Al sumar todas las plataformas, el número total supera las 840.000.
- LayerX identifica una variante adicional más avanzada y difícil de detectar. Por sí sola contaba con más de 3.800 instalaciones.
¿Qué hay detrás de GhostPoster?
En la investigación también detallan que detrás de todo esto se encuentra un actor malicioso conocido como Darkspectre. Este grupo lleva ya varios años distribuyendo malware a través de extensiones de navegador y ha estado vinculado a otras campañas con ShadyPanda y The Zoom Stealer. Desde Layer X aseguran que algunas de estas extensiones llegaron a estar disponibles en tiendas oficiales desde 2020.
