Investigadores de ciberseguridad han descubierto una extensión maliciosa de Google Chrome diseñada para robar datos relacionados con Meta Business Suite y Facebook Business Manager.
La extensión, denominada CL Suite por @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoieffl), se comercializa como una forma de recopilar datos de Meta Business Suite, eliminar ventanas emergentes de verificación y generar códigos de autenticación de dos factores (2FA). Esta extensión tiene 33 usuarios al momento de escribir este artículo. Se subió por primera vez a Chrome Web Store el 1 de marzo de 2025.
Pero el complemento del navegador también filtra códigos TOTP para cuentas de Facebook y Meta Business, listas de contactos de Business Manager y datos analíticos a la infraestructura controlada por actores de amenazas, dijo Socket.
«La extensión solicita un amplio acceso a meta.com y facebook.com, y su política de privacidad afirma que los datos confidenciales y de los administradores de negocios de 2FA permanecen locales», dijo el investigador de seguridad Kirill Boychenko.
«En realidad, este código envía la semilla TOTP y el código de seguridad único actual, la exportación CSV de «Personas» de Meta Business y los datos analíticos de Business Manager al backend getauth(.)pro. Opcionalmente, reenvía la misma carga útil a un canal de Telegram controlado por el actor de amenazas».
Al apuntar a los usuarios de Meta Business Suite y Facebook Business Manager, los atacantes detrás de esta operación aprovecharon extensiones para recopilar y exfiltrar datos sin el conocimiento o consentimiento de los usuarios.
Aunque esta extensión no tiene la capacidad de robar información relacionada con contraseñas, un atacante puede obtener dicha información por adelantado de otras fuentes, como registros de robo de información o volcados de credenciales, y utilizar el código robado para obtener acceso no autorizado a la cuenta de la víctima.
El alcance completo de la funcionalidad del complemento malicioso se detalla a continuación.
Roba semillas TOTP (códigos alfanuméricos únicos utilizados para generar contraseñas de un solo uso basadas en el tiempo) y códigos 2FA. Vaya a facebook(.)com y meta(.)com y diríjase a la vista «Personas» del Business Manager y cree un archivo CSV que contenga nombres, direcciones de correo electrónico, roles y permisos, estado y detalles de acceso. Enumere las entidades de nivel de Business Manager y sus activos vinculados y cree un archivo CSV con ID y nombres de Business Manager, cuentas publicitarias adjuntas, páginas y activos conectados, y detalles de configuración de facturación y pagos.
Socket advirtió que a pesar del bajo número de instalaciones, la extensión proporciona a los actores de amenazas suficiente información para identificar objetivos de alto valor y lanzar ataques posteriores.
«CL Suite de @CLMasters muestra cómo las extensiones de navegador estrechas pueden reempaquetar la extracción de datos como una ‘herramienta’ para Meta Business Suite y Facebook Business Manager», dijo Boichenko.
«La extracción de personas, el análisis del administrador de negocios, la supresión de ventanas emergentes y la generación de 2FA en el navegador no son características de productividad neutrales. Son raspadores de meta-superficie de alto valor que recopilan listas de contactos, acceden a metadatos y recopilan material de 2FA directamente desde páginas autenticadas».
Secuestro de cuenta de VKontakte a través de la extensión de Chrome
La divulgación se produce después de que Koi Security descubriera que aproximadamente 500.000 usuarios de VKontakte tenían sus cuentas comprometidas silenciosamente a través de una extensión de Chrome disfrazada de una herramienta de personalización de VK. Esta campaña a gran escala lleva el nombre en código «VK Styles».
El malware integrado en la extensión está diseñado para realizar operaciones de cuentas activas inscribiendo automáticamente a los usuarios en el grupo VK del atacante, sobrescribiendo la configuración del usuario restableciendo la configuración de la cuenta cada 30 días y manipulando tokens de falsificación de solicitudes entre sitios (CSRF) para evitar las protecciones de seguridad de VK y mantener un control persistente.
Esta actividad ha sido identificada como obra de un atacante que opera con el nombre de usuario de GitHub 2vk. Los atacantes aprovecharon las propias redes sociales de VK para distribuir cargas útiles maliciosas y crear una base de seguidores mediante suscripciones forzadas. Los nombres de las extensiones se enumeran a continuación:
VK Style – Tema de vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc) VK Music – Audio Saver (ID: mflibpdjoodmoppignjhciadahapkoch) Music Downloader – VKsaver (ID: lgakkahjfibFMacigibnhcgepajgfdb) vksaver – Music Saver vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn) VKfeed – Descarga música y vídeos de VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
Una de las características de esta campaña es que utiliza la etiqueta de metadatos HTML VK Profile (“vk(.)com/m0nda”) como un solucionador de caída para ocultar la URL de carga útil de la siguiente etapa y evitar la detección. La carga útil de la siguiente etapa está alojada en un repositorio público llamado ‘-‘ asociado con 2vk. La carga útil contiene JavaScript ofuscado que se inyecta en cada página VK visitada por la víctima.
Todavía se puede acceder al repositorio en el momento de escribir este artículo, y el archivo, llamado simplemente «C», recibió un total de 17 confirmaciones entre junio de 2025 y enero de 2026, a medida que los operadores lo mejoraron y agregaron nuevas funciones.
«Cada compromiso es una mejora deliberada», dijo el investigador de seguridad Ariel Cohen. «Este no es un malware descuidado. Es un proyecto de software mantenido con control de versiones, pruebas y mejoras iterativas».
VK Styles afecta principalmente a los usuarios de habla rusa, el principal grupo demográfico de VK, así como a los usuarios de Europa del Este, Asia Central y las comunidades de la diáspora rusa en todo el mundo. Esta campaña está clasificada como activa desde al menos el 22 de junio de 2025, cuando se envió una versión inicial de la carga útil al repositorio ‘-‘.
La extensión falsa AI de Chrome roba credenciales y correos electrónicos
Este hallazgo es consistente con los hallazgos de otra campaña coordinada llamada AiFrame. En esta campaña, se utiliza un grupo de 32 complementos de navegador anunciados como asistentes de inteligencia artificial (IA) que pueden resumir, chatear, escribir y ayudar con Gmail para desviar datos confidenciales. Estas extensiones han sido instaladas colectivamente por más de 260.000 usuarios.
«Estas herramientas parecen legítimas en la superficie, pero ocultan una arquitectura peligrosa. En lugar de implementar la funcionalidad central localmente, incorporan interfaces de control de servidor remoto dentro de la superficie controlada por extensión, actuando como servidores proxy privilegiados y otorgando acceso remoto a la infraestructura a la funcionalidad sensible del navegador», dijo la investigadora de LayerX Natalie Zargarov.
Los nombres de las extensiones maliciosas son:
Asistente de IA (ID: nlhpidbjmmffhoogcennoiopekbiglbp) Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl) Barra lateral de IA Gemini (ID: fppbiomdkfbhgjjdmojlogeceejinadg) Barra lateral de IA (ID: djhjckkfgancelbmgcamjimgphaphjdl) Barra lateral de ChatGPT (ID: llojfncgbabajmdglnkbhmiebiinohek) AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe) Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn) Preguntando Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh) ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg) Chatbot GPT (ID: nkgbfengofophpmonladgaldioelckbe) Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb) Chat con Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh) XAI (ID: baonbjckakcpgliaafcodddkoednpjgf) Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb) Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc) Generador de letras AI (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi) Generador de mensajes AI (ID: lodlcpnbppgipaimgbjgniokjcnpiiad) Traductor AI (ID: cmpmhhjahlioglkleiofbjodhhiejhei) AI para traducción (ID: bilfflcophfehljhpnklmcelkoiffapb) Generador de cartas de presentación AI (ID: cicjlpmjmimeoempffghfglndokjihhn) Generador de imágenes AI Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj) Generador de fondos de pantalla Ai (ID: dbclhjpifdfkofnmjfpheiondafpkoed) Generador de imágenes Ai (ID: ecikmpoikkcelnakpgaeplcjoickgacj) Descarga de DeepSeek (ID: kepibgehhljlecgaeihhnmibnmikbnga) Escritor de correo electrónico AI (ID: ckicoadchmmndbakbokhapncehanaeni) Generador de correo electrónico AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol) DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl) Generador de imágenes ChatGPT (ID: flnecpdpbhdblkpnegekobahlijbmfok) Traductor ChatGPT (ID: acaeafediijmccnjlokgcdiojiljfpbe) AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl) Chat GPT Traducción (ID: idhknpoceajhnjokpnbicildeoligdgh) Chat GPT para Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)
Una vez instaladas estas extensiones, se muestra una superposición de iframe de pantalla completa que apunta a un dominio remoto (‘claude.tapnetic(.)pro’), lo que permite a un atacante introducir nuevas funciones de forma remota sin necesidad de una actualización de Chrome Web Store. Cuando lo dirige el iframe, el complemento consulta la pestaña activa del navegador y llama a un script de contenido que utiliza la biblioteca Readability de Mozilla para extraer el contenido legible del artículo.
El malware también admite la capacidad de iniciar el reconocimiento de voz y filtrar la transcripción resultante a una página remota. Además, un pequeño conjunto de extensiones incluye la capacidad de apuntar específicamente a Gmail leyendo el contenido del correo electrónico mostrado directamente desde el Modelo de objetos de documento (DOM) cuando la víctima visita mail.google(.)com.
«Cuando se invoca una función relacionada con Gmail, como una respuesta o un resumen asistido por IA, el contenido del correo electrónico extraído se pasa a la lógica de la extensión y se envía a una infraestructura backend de terceros controlada por el operador de la extensión», dijo LayerX. «Como resultado, el texto de los mensajes de correo electrónico y los datos contextuales asociados podrían enviarse desde el dispositivo a servidores remotos fuera del perímetro de seguridad de Gmail».
La extensión 287 de Chrome filtra el historial de navegación
Este desarrollo muestra que las extensiones de los navegadores web son cada vez más explotadas por actores maliciosos para recopilar y robar datos confidenciales bajo la apariencia de herramientas y utilidades legítimas.
Un informe publicado la semana pasada por Q Continuum descubrió una colección masiva de 287 extensiones de Chrome que filtran su historial de navegación a intermediarios de datos. Estas extensiones se han instalado 37,4 millones de veces, lo que representa aproximadamente el 1% de la base global de usuarios de Chrome.
«En el pasado se ha demostrado que las extensiones de Chrome se utilizan para robar el historial del navegador de los usuarios, que luego es recopilado por intermediarios de datos como Similarweb y Alexa», dijeron los investigadores.
Teniendo en cuenta los riesgos, se recomienda a los usuarios que adopten un enfoque minimalista instalando sólo las herramientas necesarias y bien revisadas de las tiendas oficiales. También es importante auditar periódicamente las extensiones instaladas en busca de signos de comportamiento malicioso o solicitudes de permiso excesivas.
Otras formas en que los usuarios y las organizaciones pueden aumentar la seguridad incluyen el uso de perfiles de navegador separados para tareas confidenciales y la implementación de una lista blanca de extensiones para bloquear tareas maliciosas o no compatibles.
Source link
