Una nueva campaña llamada FantasmaCartel ha aprovechado archivos de logotipo asociados con 17 complementos del navegador Mozilla Firefox para incrustar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraude publicitario y de clics.
Las extensiones se han descargado colectivamente más de 50.000 veces, según Koi Security, que descubrió la campaña. Los complementos ya no están disponibles.
Estos programas de navegador se anunciaban como VPN, utilidades de captura de pantalla, bloqueadores de publicidad y versiones no oficiales de Google Translate. El complemento más antiguo, Modo oscuro, se publicó el 25 de octubre de 2024 y ofrece la posibilidad de habilitar un tema oscuro para todos los sitios web. La lista completa de complementos del navegador se encuentra a continuación:
- VPN gratuita
- Captura de pantalla
- Clima (mejor pronóstico del tiempo)
- Gesto del ratón (crxMouse)
- Caché: cargador rápido de sitios
- Descargador de MP3 gratuito
- Traductor de Google (google-translate-clic derecho)
- Traductor de Google
- VPN global: gratis para siempre
- Modo oscuro del lector oscuro
- Traductor – Google Bing Baidu DeepL
- Clima (me gusta el clima)
- Traductor de Google (extensión-google-translate-pro)
- Google Translate
- libretv-ver-videos-gratis
- Ad Stop: el mejor bloqueador de anuncios
- Traductor de Google (haga clic derecho en Google Translate)
«Lo que realmente ofrecen es una carga útil de malware de múltiples etapas que monitorea todo lo que usted navega, elimina las protecciones de seguridad de su navegador y abre una puerta trasera para la ejecución remota de código», dijeron los investigadores de seguridad Lotan Sery y Noga Gouldman.
La cadena de ataque comienza cuando se recupera el archivo del logotipo cuando se carga una de las extensiones mencionadas anteriormente. El código malicioso analiza el archivo para buscar un marcador que contenga el signo «===» para extraer el código JavaScript, un cargador que llega a un servidor externo («www.liveupdt(.)com» o «www.dealctr(.)com») para recuperar la carga útil principal, esperando 48 horas entre cada intento.
Para evadir aún más la detección, el cargador está configurado para recuperar la carga útil solo el 10% del tiempo. Esta aleatoriedad es una elección deliberada que se introduce para eludir los esfuerzos por monitorear el tráfico de la red. La carga útil recuperada es un completo conjunto de herramientas codificado de forma personalizada capaz de monetizar las actividades del navegador sin el conocimiento de las víctimas a través de cuatro formas diferentes:
- Secuestro de enlaces de afiliados, que intercepta enlaces de afiliados a sitios de comercio electrónico como Taobao o JD.com, privando a los afiliados legítimos de su comisión.
- Inyección de seguimiento, que inserta el código de seguimiento de Google Analytics en cada página web visitada por la víctima, para perfilarla silenciosamente.
- Eliminación de encabezados de seguridad, que elimina encabezados de seguridad como Content-Security-Policy y X-Frame-Options de las respuestas HTTP, exponiendo a los usuarios a ataques de clickjacking y scripts entre sitios.
- Inyección de iframe oculta, que inyecta iframes invisibles en páginas para cargar URL desde servidores controlados por atacantes y permitir el fraude en anuncios y clics.
- Omisión de CAPTCHA, que emplea varios métodos para evitar los desafíos de CAPTCHA y evadir las salvaguardas de detección de bots.
«¿Por qué el malware necesitaría eludir los CAPTCHA? Porque algunas de sus operaciones, como las inyecciones ocultas de iframe, activan la detección de bots», explicaron los investigadores. «El malware necesita demostrar que es ‘humano’ para seguir funcionando».
Además de las comprobaciones de probabilidad, los complementos también incorporan retrasos basados en el tiempo que impiden que el malware se active hasta más de seis días después de la instalación. Estas técnicas de evasión en capas hacen que sea más difícil detectar lo que sucede detrás de escena.
Vale la pena enfatizar aquí que no todas las extensiones anteriores usan la misma cadena de ataque esteganográfica, pero todas exhiben el mismo comportamiento y se comunican con la misma infraestructura de comando y control (C2), lo que indica que es el trabajo de un único actor o grupo de amenazas que ha experimentado con diferentes señuelos y métodos.
El desarrollo se produce pocos días después de que una popular extensión VPN para Google Chrome y Microsoft Edge fuera sorprendida recopilando en secreto conversaciones de IA de ChatGPT, Claude y Gemini y exfiltrándolas a corredores de datos. En agosto de 2025, se observó otra extensión de Chrome llamada FreeVPN.One recopilando capturas de pantalla, información del sistema y ubicaciones de los usuarios.
«Las VPN gratuitas prometen privacidad, pero nada en la vida es gratis», afirmó Koi Security. «Una y otra vez, en su lugar, brindan vigilancia».