Dos extensiones de Google Chrome se han vuelto maliciosas después de un aparente incidente de transferencia de propiedad, lo que proporciona a los atacantes los medios para enviar malware a los clientes, inyectar código arbitrario y recopilar datos confidenciales.
Las extensiones en cuestión estaban asociadas originalmente con un desarrollador llamado «akshayanuonline@gmail.com» (BuildMelon) y se enumeran a continuación.
QuickLens – Pantalla de búsqueda de Google Lens (ID: kdenlnncndfnkognokgfpabgkgehodd) – 7.000 usuarios ShotBird – Desplazamiento de capturas de pantalla, imagen de tweet y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 usuarios
QuickLens ya no está disponible para descargar desde Chrome Web Store, pero todavía se puede acceder a ShotBird al momento de escribir este artículo. ShotBird fue lanzado originalmente en noviembre de 2024 por el desarrollador Akshay Anu S (@AkshayAnuOnline), quien afirmó en X que la extensión era adecuada para «crear imágenes profesionales similares a las de un estudio» y que todo el procesamiento se realizaba localmente.
Según una investigación publicada por monxresearch-sec, el complemento del navegador recibió la marca «Destacado» en enero de 2025 y luego pasó a otro desarrollador («loraprice198865@gmail.com») en algún momento del mes pasado.
De manera similar, QuickLens fue puesto a la venta en ExtensionHub por «akshayanuonline@gmail.com» el 11 de octubre de 2025, apenas dos días después de su publicación, dijo John Tuckner de Anexo Security. El 1 de febrero de 2026, el propietario de la extensión cambió a «support@doodlebuggle.top» en la página de listado de Chrome Web Store.
Una actualización maliciosa introducida en QuickLens el 17 de febrero de 2026 conservó la funcionalidad original, pero introdujo la capacidad de eliminar encabezados de seguridad (como X-Frame-Options) de todas las respuestas HTTP, lo que permitió que scripts maliciosos inyectados en páginas web eludieran las protecciones de la Política de seguridad de contenido (CSP) y realizar solicitudes arbitrarias a otros dominios.
Además, la extensión contenía un código que tomaba las huellas digitales del país del usuario, detectaba el navegador y el sistema operativo y sondeaba un servidor externo cada cinco minutos para recibir JavaScript. El JavaScript se almacena en el almacenamiento local de su navegador y se ejecuta cada vez que se carga la página agregando un GIF oculto de 1×1. Agregue un elemento y establezca la cadena de JavaScript como su atributo «onload». Esto hace que se ejecute código malicioso cuando se carga la imagen.
«El código malicioso real nunca aparece en los archivos fuente de la extensión», explicó Tuckner. «El análisis estático nos mostró la función que crea el elemento de imagen, y eso es todo. La carga útil se entrega desde el C2 y se almacena en el almacenamiento local. La carga útil existe sólo en tiempo de ejecución».
Un análisis similar de la extensión ShotBird realizado por monxresearch-sec encontró que las devoluciones de llamada se usaban directamente para entregar código JavaScript en lugar de crear una imagen de 1×1 píxeles para activar la ejecución. Este JavaScript está diseñado para mostrar un mensaje falso de actualización del navegador Google Chrome que, al hacer clic, muestra una página estilo ClickFix que abre un cuadro de diálogo Ejecutar de Windows que inicia «cmd.exe» y pega un comando de PowerShell. Como resultado, se descarga un archivo ejecutable llamado «googleupdate.exe» en el host de Windows.
Luego, el malware engancha la entrada, el área de texto, selecciona el elemento HTML y captura los datos ingresados por la víctima. Esto puede incluir credenciales, PIN, detalles de tarjetas, tokens e identificadores gubernamentales. También tiene la capacidad de extraer datos almacenados en el navegador web Chrome, incluidas contraseñas, historial de navegación e información relacionada con extensiones.
«Esta es una cadena de explotación de dos pasos: control remoto del navegador en el lado de la extensión y pivote de ejecución a nivel de host con actualizaciones falsas», dijeron los investigadores. «Como resultado, observamos la divulgación de datos de alto riesgo dentro del navegador y la ejecución de scripts del lado del host en al menos un sistema afectado. En términos prácticos, esto aumenta el impacto de la explotación sólo del navegador con el potencial de robo de credenciales y un compromiso más amplio de los terminales».
Dado el uso del mismo patrón de arquitectura de comando y control (C2), el señuelo ClickFix inyectado en el contexto de navegación y la transferencia de propiedad como vector de infección, se considera que el mismo actor está detrás del compromiso de las dos extensiones, operando dichos complementos en paralelo.
Curiosamente, el desarrollador de la extensión original ha publicado varias otras extensiones bajo su nombre en Chrome Web Store, todas las cuales han obtenido insignias de Destacadas. El desarrollador también tiene una cuenta en ExtensionHub, pero actualmente no hay extensiones a la venta. Además, esta persona intentó vender dominios como «AIInfraStack(.)com» por 2500 dólares, alegando que los «dominios de palabras clave fuertes» estaban «asociados con el ecosistema de IA en rápido crecimiento».
«En pocas palabras, se trata de un problema de la cadena de suministro extendida», dijo Anexo Security. «Una extensión revisada ‘Destacada’ cambia de manos y el nuevo propietario envía la actualización armada a todos los usuarios existentes».
Esta divulgación se produce después de que Microsoft advirtiera sobre una extensión de navegador maliciosa basada en Chromium que recopila el historial de chat de LLM y datos de navegación bajo la apariencia de una herramienta legítima de asistente de inteligencia artificial.
«A escala, esta actividad convierte una extensión de productividad aparentemente confiable en un mecanismo de recopilación de datos persistente integrado en el uso diario de los navegadores empresariales, destacando el creciente riesgo que las extensiones de navegador representan para los entornos empresariales», dijo el equipo de investigación de seguridad de Microsoft Defender.
En las últimas semanas, los cazadores de amenazas también han detectado una extensión maliciosa de Chrome llamada lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi). La extensión se hace pasar por imToken, se anuncia como un visualizador de colores hexadecimales en Chrome Web Store y utiliza una redirección de phishing para robar frases iniciales de criptomonedas.
«En lugar de proporcionar la herramienta inofensiva prometida, esta extensión abre automáticamente un sitio de phishing controlado por actores de amenazas tan pronto como se instala y cada vez que el usuario hace clic en él», dijo el investigador de socket Kirill Boychenko.
«Tras la instalación, la extensión recupera la URL de destino de un punto final JSONKeeper codificado (jsonkeeper(.)com/b/KUWNE) y abre una pestaña que apunta a un dominio similar al estilo de Chrome Web Store, chromewedbstorre-detail-extension(.)com. La página de destino utiliza isomorfismos de script mixtos para hacerse pasar por imToken y enviar a la víctima a 12 o 12. Se le dirigirá a un flujo de captura de credenciales que requiere ya sea una frase inicial de 24 palabras o una clave privada.
Se ha descubierto que otras extensiones maliciosas señaladas por la Unidad 42 de Redes de Palo Alto Networks están involucradas en el secuestro de afiliados y la exfiltración de datos. Uno de ellos, Chrome MCP Server – AI Browser Control (ID: fpeabamagecnidibdmjoepaiehokgda), pretende ser una herramienta de automatización de IA que utiliza Model Context Protocol (MCP) mientras actúa como un troyano de acceso remoto completo.
Los investigadores de la Unidad 42 también descubrieron que en Chrome se encontraron tres extensiones populares de Chrome, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, identificadas por Koi como raspadores de conversaciones de IA de una variedad de chatbots, incluidos OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity. También revelaron que están de regreso en la tienda web.
Los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov dijeron: «Después de que la campaña se hizo pública el 15 de diciembre de 2025, los desarrolladores actualizaron una versión benigna en enero de 2026, probablemente en respuesta al informe».
Además, la empresa de ciberseguridad identificó una extensión llamada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp). La extensión tiene más de 100.000 usuarios y su versión anterior se comunicaba con indicadores de red conocidos asociados con una campaña llamada RedDirection que realizaba secuestro del navegador.
Eso no es todo. Se descubrió que una nueva campaña que constaba de más de 30.000 dominios iniciaba una cadena de redireccionamiento que enrutaba el tráfico a una página de destino (‘ansiblealgorithm(.)com’) utilizada para distribuir una extensión de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).
Esta extensión utiliza la API chrome_settings_overrides para cambiar la configuración de Chrome y configurar la página de inicio del navegador en omnibar(.)ai. Además, configure el proveedor de búsqueda predeterminado en la URL personalizada «go.omnibar(.)ai/?api=omni&sub1=omnibar.ai&q={searchTerms}» y realice un seguimiento de las consultas a través de parámetros API.
Se cree que el objetivo final es realizar el secuestro del navegador como parte de lo que parece ser un plan de marketing de afiliados más amplio, dijo Unit 42, y agregó que ha identificado otras dos extensiones que exhiben el mismo comportamiento de secuestro del navegador consistente con OmniBar mediante la anulación de la página de inicio y la interceptación de búsqueda.
Herramienta de algoritmo de salida de IA (ID: eeoonfhmbjlmienmmbgapfloddpmoalh) Extensión oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)
Una mirada más cercana a tres extensiones adicionales publicadas por el mismo desarrollador (‘jon@status77.com’ y Status 77) reveló que dos de ellas rastrean la actividad de navegación de los usuarios e insertan marcadores de afiliados, y una tercera extrae los hilos de comentarios de Reddit de los usuarios y los envía a un punto final API controlado por el desarrollador.
Care.Sale (ID:jaioobipjdejpeckgojiojjahmkiaihp) Extensión oficial de cupones gigantes (ID:akdajpomgjgldidenledjjiemgkjcchc) Consenso: resumen de comentarios de Reddit (ID:mkkfklcadlnkhgapjeejemflhamcdjld)
Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen inmediatamente de sus navegadores, eviten descargarlas o instalar extensiones de productividad no verificadas, auditen sus navegadores en busca de extensiones desconocidas y las desinstalen.
Source link
