Investigadores de ciberseguridad han descubierto una extensión maliciosa de Google Chrome con la capacidad de secuestrar enlaces de afiliados, robar datos y recopilar tokens de autenticación OpenAI ChatGPT.
Una de las extensiones en cuestión es Amazon Ads Blocker (ID: pnpchphmplpdimbllknjoiopmfphellj), que afirma ser una herramienta para navegar por Amazon sin contenido patrocinado. Fue subido a Chrome Web Store el 19 de enero de 2026 por un editor llamado ’10Xprofit’.
«Esta extensión bloquea los anuncios anunciados, pero su funcionalidad principal está oculta: inserta automáticamente la etiqueta de afiliado del desarrollador (10xprofit-20) en todos los enlaces de productos de Amazon, reemplazando los códigos de afiliados existentes de los creadores de contenido», dijo Kush Pandya, un investigador de seguridad de socket.
Un análisis más detallado reveló que Amazon Ads Blocker es parte de un grupo más grande de 29 complementos de navegador dirigidos a varias plataformas de comercio electrónico, incluidas AliExpress, Amazon, Best Buy, Shein, Shopify y Walmart. Aquí está la lista completa:
Generador de facturas de AliExpress (gratis) – AliInvoice™️ (más de 10 plantillas) (ID: mabbblhhnmlckjbfppkopnccllieeocp) Rastreador de precios de AliExpress – Historial de precios y alertas (ID: loiofaagnefbonjdjklhacdhfkolcfgi) Conversor rápido de precios y divisas de AliExpress (ID: mcaglclodnaiimhicpjemhcinjfnjce) Cuenta atrás de AliExpress – Temporizador de venta flash (ID: jmlgkeaofknfmnbpmlmadnfnfajdlehn) 10Xprofit – Herramientas de vendedor de Amazon (FBA y FBM) (ID: ahlnchhkedmjbdocaamkbmhppnligmoh) Bloqueador de anuncios de Amazon (ID: pnpchphmplpdimbllknjoiopmfphellj) Búsqueda de ASIN de Amazon 10xprofit (ID: ljcgnobemekghgobhlplpehijemdgcgo) Sugerencias de búsqueda de Amazon (ID: dnmfcojgjchpjcmjgpgonmhccibjopnb) Raspador de productos de Amazon 10xprofit (ID: mnacfoefejolpobogooghoclppjcgfcm) Búsqueda rápida de marcas de Amazon (ID: nigamacoibifjohkmepefofohfedblgg) Comprobador de stock de Amazon 999 (ID: johobikccpnmifjjpephegmfpipfbfme) Ahorro de historial de precios de Amazon (ID: kppfbknppimnoociaomjcdgkebdmenkh) Copia de ASIN de Amazon (ID: aohfjaadlbiifnnajpobdhokecjokhab) Generador de nube de palabras clave de Amazon (ID: gfdbbmngalhmegpkejhidhgdpmehlmnd) Descargador de imágenes de Amazon (ID: cpcojeeblggnjjgnpiicndnahfhjdobd) Ocultador de reseñas negativas de Amazon (ID: hkkkipfcdagiocekjdhobgmlkhejjfoj) Comprobador de puntuación de listado de Amazon (ID: jaojpdijbaolkhkifpgbjnhfbmckoojh) Buscador de densidad de palabras clave de Amazon (ID: ekomkpgkmieaaekmaldmaljljahehkoi) Notas adhesivas de Amazon (ID: hkhmodcdjhcidbcncgmnknjppphcpgmh) Numeración de resultados de Amazon (ID: nipfdfkjnidadibpbflijepbllfkokac) Calculadora de beneficios de Amazon Lite (ID: behckapcoohededfbgjgkgefgkpodeho) Convertidor de peso de Amazon (ID: dfnannaibdndmkienngjahldiofjbkmj) Vista rápida de Amazon BSR (ID: nhilffccdbcjcnoopblecppbhalagpaf) Herramientas de vendedor y recuento de palabras de Amazon (ID: goikoilmhcgfidolicnbgggdpckdcoam) Verificador de precios global de Amazon (ID: mjcgfimemamogfmekphcfdehfkkbmldn) BestBuy Buscar por imagen (ID: nppjmiadmakeigiagilkfffplihgjlec) SHEIN Búsqueda por imagen (ID: mpgaodghdhmeljgogbeagpbhgdbfofgb) Shopify Búsqueda por imagen (ID: gjlbbcimkbncedhofeknicfkhgaocohl) Walmart Búsqueda por imagen (ID: mcaihdkeijgfhnlfcdehniplmaapadgb)
Si bien “Amazon Ads Blocker” proporciona la funcionalidad anunciada, también contiene código malicioso que escanea todos los patrones de URL de productos de Amazon en busca de etiquetas de afiliados y los reemplaza con “10xprofit-20” (“_c3pFXV63” para AliExpress) sin requerir la interacción del usuario. Si no hay ninguna etiqueta presente, la etiqueta del atacante se agrega a cada URL.
Socket también señaló que la página de listado de extensiones de Chrome Web Store hace divulgaciones engañosas, afirmando que los desarrolladores ganan una «pequeña comisión» cada vez que un usuario realiza una compra utilizando un código de cupón.
Los enlaces de afiliados se utilizan ampliamente en las redes sociales y sitios web. Se refieren a URL que contienen ID específicos que permiten el seguimiento del tráfico y las ventas a especialistas en marketing específicos. Si un usuario hace clic en este enlace y compra un producto, el afiliado recibe una parte de la venta.
Debido a que la extensión busca y reemplaza etiquetas existentes, los creadores de contenido de redes sociales que comparten enlaces de productos de Amazon y sus propias etiquetas de afiliados perderán comisiones cuando los usuarios que instalen el complemento hagan clic en esos enlaces.
Esto constituye una infracción de las políticas de Chrome Web Store. Las extensiones deben utilizar enlaces de afiliados para revelar exactamente cómo funciona el programa, requieren la acción del usuario cada vez que se insertan y nunca deben reemplazar el código de afiliado existente.
«La divulgación describe cupones y extensiones de ofertas que los usuarios activan y publican. El producto real es un bloqueador de anuncios con funcionalidad de cambio automático de enlaces», explicó Pandya. «La falta de coincidencia entre la divulgación y la aplicación genera un consentimiento falso».
«Esta extensión también viola la política de propósito único porque combina dos características no relacionadas (bloqueo de anuncios e inyección de afiliados) que deberían ser extensiones separadas».
También se descubrió que las extensiones identificadas extraen datos de productos y los exfiltran a app.10xprofit(.)io, y la extensión centrada en AliExpress proporciona un temporizador de cuenta atrás falso de «venta por tiempo limitado» en las páginas de productos para crear una falsa sensación de urgencia y alentar a las personas a apresurar las compras para ganar comisiones en los enlaces de afiliados.
«Las extensiones que combinan la inyección de afiliados con funcionalidades no relacionadas (bloqueo de anuncios, comparación de precios, búsqueda de cupones) deben tratarse como de alto riesgo, especialmente aquellas con divulgaciones que no coinciden con el comportamiento del código real», dijo Socket.
La divulgación se produce después de que Symantec, propiedad de Broadcom, señalara cuatro extensiones diferentes con una base de usuarios combinada de más de 100.000 y diseñadas para robar datos.
Buena pestaña (ID: glckmpfajbjppappjlnhhlofhdhlcgaj). Otorgue permisos completos del portapapeles al dominio externo (‘api.office123456(.)com’) para habilitar permisos remotos de lectura y escritura en el portapapeles. Protección Infantil (ID: giecgobdmgdamgffeoankaipjkdjbfep). Implemente funciones de recopilación de cookies, inserción de anuncios y ejecución opcional. JavaScript DPS Websafe (ID: bjoddpbfndnpeohkmpbjfhcppkhgobcg) conectándose a un servidor remoto. Podría cambiar la búsqueda predeterminada a una búsqueda supervisada para capturar los términos de búsqueda ingresados por el usuario y dirigirlos a sitios web maliciosos. Informador de acciones (ID: beifidafjobphnbhbbgmgnndjolfcho). Stockdio Historical Charts se ve afectado por una vulnerabilidad entre sitios (XSS) de larga data. Complemento de WordPress que permite a atacantes remotos ejecutar código JavaScript (CVE-2020-28707, puntuación CVSS: 6.1)
Los investigadores Yuanjing Guo y Tommy Dong dijeron: «Las extensiones de navegador ofrecen una amplia gama de herramientas útiles para ayudarle a lograr más cosas en línea, pero debe tener mucho cuidado al elegir qué instalar, incluso si lo hace desde una fuente confiable».
Completando la lista de extensiones maliciosas se encuentra otra red de 16 complementos (15 en Chrome Web Store y 1 en Microsoft Edge Add-on Marketplace). Estos complementos están diseñados para interceptar y robar tokens de autenticación ChatGPT inyectando scripts de contenido en chatgpt(.)com. Según LayerX, la extensión se descargó aproximadamente 900 veces en total.
Las extensiones califican como parte de una campaña coordinada porque tienen código fuente, íconos, marcas y descripciones duplicados.
Carpeta ChatGPT, descarga de audio, administrador de mensajes, herramientas gratuitas – Mods ChatGPT (ID: lmiigijnefpkjcenfbinhdpafehaddag) Descarga de audio ChatGPT, descarga TTS – Mods ChatGPT (ID: obdobankihdfckkbfnoglefmdgmblcld) Chat con pin de ChatGPT, marcador – Mods ChatGPT (ID: kefnabicobeigajdngijnnjmljehknjl) Navegador de mensajes ChatGPT, desplazamiento del historial – Mods ChatGPT (ID: ifjimhnbnbniiiaihphlclkpfikcdkab) Cambio de modelo ChatGPT, guardar uso avanzado del modelo – Mods ChatGPT (ID: pfgbcfaiglkcoclichlojeaklcfboieh) Exportación ChatGPT, rebajas, JSON, imágenes – Mods de ChatGPT (ID: hljdedgemmmkdalbnmnpoimdedckdkhm) Visualización de marca de tiempo de ChatGPT – Mods de ChatGPT (ID: afjenpabhpfodjpncbiiahbknnghabdc) Eliminación masiva de ChatGPT, administrador de chat – Mods de ChatGPT (ID: gbcgjnbccjojicobfimcnfjddhpphaod) Historial de búsqueda de ChatGPT, búsqueda de mensajes específicos – Mods ChatGPT (ID: ipjgfhcjeckaibnohigmbcaonfcjepmb) Optimización de avisos ChatGPT – Mods ChatGPT (ID: mmjmcfaejolfbenlplfoihnobnggljij) Mensajes colapsados – Mods ChatGPT (ID: lechagcebaneoafonkbfkljmbmaaoaec) Gestión y cambio de perfiles múltiples – Mods ChatGPT (ID: nhnfaiiobkpbenbbiblmgncgokeknnno) Buscar en ChatGPT – Mods de ChatGPT (ID: hpcejjllhbalkcmdikecfngkepppoknd) Contador de tokens de ChatGPT – Mods de ChatGPT (ID: hfdpdgblphooommgcjdnnmhpglleaafj) Administrador de mensajes de ChatGPT, carpetas, bibliotecas, envíos automáticos – Mods de ChatGPT (ID: ioaeacncbhpmlkediaagefiegegknglc) Mods ChatGPT: herramientas gratuitas como descarga de audio de carpeta (ID: jhohjhmbiakpgedidneeloaoloadlbdj)
A medida que las extensiones relacionadas con la inteligencia artificial (IA) se vuelven cada vez más comunes en los flujos de trabajo empresariales, este desarrollo destaca una nueva superficie de ataque donde los actores de amenazas pueden aprovechar la confianza asociada con las marcas populares de IA para engañar a los usuarios para que las instalen.
Debido a que dichas herramientas a menudo requieren un contexto de ejecución de alto nivel dentro del navegador y acceden a datos confidenciales, las extensiones aparentemente inofensivas pueden convertirse en vectores de ataque lucrativos, permitiendo a los atacantes obtener acceso persistente sin recurrir a explotar fallas de seguridad u otros métodos que puedan activar alarmas de seguridad.
«La propiedad de un token de este tipo proporciona el mismo acceso a nivel de cuenta que el usuario, incluido el acceso al historial de conversaciones y a los metadatos», dijo la investigadora de seguridad Natalie Zargalov. «Como resultado, un atacante puede clonar y suplantar las credenciales de acceso de un usuario a ChatGPT y obtener acceso a todas las conversaciones, datos o códigos de ChatGPT del usuario».
Los navegadores se convierten en vectores de ataque lucrativos
Este descubrimiento también coincide con la aparición de un nuevo conjunto de herramientas de malware como servicio llamado Stanley, que se vende por entre 2.000 y 6.000 dólares en los foros rusos sobre ciberdelincuencia. Este conjunto de herramientas permite a los estafadores generar una extensión maliciosa del navegador Chrome que puede usarse para publicar una página de phishing dentro de un elemento iframe HTML mientras muestra una URL legítima en la barra de direcciones.
Los clientes de esta herramienta tendrán acceso a un panel C2 para administrar víctimas, configurar redireccionamientos falsos y enviar notificaciones falsas al navegador. Aquellos que acepten gastar $6,000 recibirán una garantía de que las extensiones creadas con este kit pasarán el proceso de revisión de Google para Chrome Web Store.
Estas extensiones toman la forma de utilidades encubiertas e inofensivas para tomar notas. Sin embargo, su comportamiento malicioso se activa cuando el usuario navega a un sitio web de interés para el atacante, como por ejemplo un banco. En ese momento, se superpone un iframe de pantalla completa que contiene la página de phishing, dejando intacta la barra de URL del navegador. Este engaño visual crea un punto ciego defensivo que puede engañar incluso a los usuarios más cautelosos para que introduzcan credenciales o información confidencial en una página.
A partir del 27 de enero de 2025, el servicio parece haber desaparecido, quizás como resultado de su lanzamiento público, pero es muy probable que reaparezca con un nombre diferente en el futuro.
«Stanley ofrece una operación de suplantación de sitio web llave en mano disfrazada de una extensión de Chrome, y se garantiza que su nivel premium se publicará en Chrome Web Store», dijo el investigador de Varonis, Daniel Kelley, a principios de esta semana. «Las políticas BYOD, los entornos SaaS y el trabajo remoto han convertido al navegador en el nuevo punto final. Los atacantes se han dado cuenta. Las extensiones maliciosas del navegador son ahora el principal vector de ataque».
Source link
