Se descubrió que extensiones maliciosas de Chro...

Los investigadores de ciberseguridad han descubierto una extensión maliciosa de Google Chrome diseñada para robar datos asociados a Meta Business Suite y Facebook Business Manager.

La extensión, denominada CL Suite by @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), se comercializa como una forma de extraer datos de Meta Business Suite, eliminar las ventanas emergentes de verificación y generar códigos de autenticación de dos factores (2FA). La extensión tiene 33 usuarios al momento de escribir este artículo. Se subió por primera vez a Chrome Web Store el 1 de marzo de 2025.

Sin embargo, el complemento del navegador también filtra los códigos TOTP de las cuentas de Facebook y Meta Business, las listas de contactos de Business Manager y los datos de análisis a la infraestructura controlada por el actor de la amenaza, dijo Socket.

«La extensión solicita un acceso amplio a meta.com y facebook.com y afirma en su política de privacidad que los secretos de 2FA y los datos de los gerentes de negocios permanecen locales», dijo el investigador de seguridad Kirill Boychenko dijo .

«En la práctica, el código transmite las semillas de TOTP y los códigos de seguridad actuales de un solo uso, las exportaciones CSV de Meta Business 'People' y los datos analíticos de Business Manager a un backend en getauth [.] pro, con la opción de reenviar las mismas cargas útiles a un canal de Telegram controlado por el actor de la amenaza».

Al dirigirse a los usuarios de Meta Business Suite y Facebook Business Manager, el actor de amenazas detrás de la operación ha aprovechado la extensión para recopilar y filtrar datos sin el conocimiento o el consentimiento de los usuarios.

Si bien la extensión no tiene la capacidad de robar información relacionada con las contraseñas, el atacante podría obtener dicha información de antemano de otras fuentes, como los registros de ladrones de información o los volcados de credenciales, y luego usar los códigos robados para obtener acceso no autorizado a las cuentas de las víctimas.

El alcance completo de las capacidades del complemento malicioso se detalla a continuación:

• Roba la semilla TOTP (un código alfanumérico único que se usa para generar contraseñas de un solo uso basadas en el tiempo) y el código 2FA
• Para ver «Personas» de Target Business Manager, vaya a facebook [.] com y meta [.] com y cree un archivo CSV con nombres, direcciones de correo electrónico, funciones y permisos, así como sus detalles de estado y acceso.
• Enumere las entidades de nivel Business Manager y sus activos vinculados y cree un archivo CSV con los ID y nombres de los gerentes comerciales, las cuentas publicitarias adjuntas, las páginas y los activos conectados y los detalles de configuración de facturación y pago.

Socket advirtió que, a pesar del bajo número de instalaciones, la extensión brinda al actor de la amenaza suficiente información para identificar objetivos de alto valor y organizar ataques de seguimiento.

«CL Suite de @CLMasters muestra cómo una extensión de navegador estrecha puede reempaquetar el raspado de datos como una 'herramienta' para Meta Business Suite y Facebook Business Manager», afirma Boychenko.

«La extracción de personal, el análisis de Business Manager, la supresión de ventanas emergentes y la generación de 2FA en el navegador no son funciones de productividad neutras, sino que son raspadores diseñados específicamente para metasuperficies de gran valor que recopilan listas de contactos, acceden a metadatos y material de 2FA directamente desde páginas autenticadas».

Las extensiones de Chrome secuestran cuentas de VKontakte

La divulgación se produce como Koi Security encontrado que unas 500.000 cuentas de usuarios de VKontakte han sido secuestradas silenciosamente a través de extensiones de Chrome disfrazadas de herramientas de personalización de VK. La campaña a gran escala ha recibido un nombre en clave Estilos VK .

El malware integrado en las extensiones está diseñado para manipular cuentas activas al suscribir automáticamente a los usuarios a los grupos VK del atacante, restablecer la configuración de la cuenta cada 30 días para anular las preferencias de los usuarios, manipular los tokens de falsificación de solicitudes entre sitios (CSRF) para eludir las protecciones de seguridad de VK y mantener un control persistente.

La actividad se remonta a un actor de amenazas que operaba con el nombre de usuario de GitHub 2vk, que confiaba en la propia red social de VK para distribuir cargas maliciosas y crear una base de seguidores mediante suscripciones forzadas. Los nombres de las extensiones se enumeran a continuación:

• VK Styles - Temas para vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
• VK Music - protector de audio (ID: mflibpdjoodmoppignjhciadahapkoch)
• Descargador de música - VKSaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
• vksaver - protector de música vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
• VKFeed: descarga música y vídeos de VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)

Uno de los rasgos distintivos de la campaña es el uso de las etiquetas de metadatos HTML de un perfil VK («vk [.] com/m0nda») como resolución automática para ocultar las URL de carga útil de la siguiente etapa y, por lo tanto, evitar ser detectadas. La carga útil de la siguiente fase se aloja en un repositorio público denominado «-» que está asociado a 2vk. En la carga útil hay JavaScript ofuscado que se inyecta en cada página de VK que visita la víctima.

El repositorio sigue siendo accesible en el momento de escribir este artículo, y el archivo, denominado simplemente «C», recibió un total de 17 confirmaciones entre junio de 2025 y enero de 2026, a medida que el operador refinaba y añadía nuevas funciones.

«Cada confirmación muestra un refinamiento deliberado», dijo el investigador de seguridad Ariel Cohen. «No se trata de un malware descuidado, sino de un proyecto de software mantenido con control de versiones, pruebas y mejoras iterativas».

VK Styles ha afectado principalmente a los usuarios de habla rusa, que son el principal grupo demográfico de VK, así como a los usuarios de Europa del Este, Asia Central y las comunidades de la diáspora rusa en todo el mundo. Se estima que la campaña está activa desde, al menos, el 22 de junio de 2025, cuando la versión inicial de la carga se envió al repositorio «-».

Las extensiones falsas de AI Chrome roban credenciales y correos electrónicos

Los hallazgos también coinciden con el descubrimiento de otra campaña coordinada denominada AiFrame , donde se utilizan un grupo de 32 complementos de navegador anunciados como asistentes de inteligencia artificial (IA) para resumir, chatear, escribir y utilizar Gmail para extraer datos confidenciales. Estas extensiones han sido instaladas en conjunto por más de 260 000 usuarios.

«Si bien estas herramientas parecen legítimas a primera vista, ocultan una arquitectura peligrosa: en lugar de implementar la funcionalidad principal a nivel local, incorporan interfaces remotas controladas por el servidor dentro de superficies controladas por extensiones y actúan como proxies privilegiados, lo que otorga acceso remoto a la infraestructura a capacidades sensibles del navegador», dijo Natalie Zargarov, investigadora de LayerX dijo .

Los nombres de las extensiones maliciosas son los siguientes -

• Asistente de IA (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
• Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
• Barra lateral de IA de Gemini (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
• Barra lateral AI (ID: djhjckkfgancelbmgcamjimgphaphjdl)
• Barra lateral de ChatGpt (ID: llojfncgbabajmdglnkbhmiebiinohek)
• Barra lateral AI (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
• Grom (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
• Preguntando a Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
• Chat BT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
• Chat bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
• De Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
• Chatea con Géminis (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
• XAI (ID: baonbuckakcpgliaafcodddkoednpjgf)
• Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
• Pregúntale a Géminis (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
• Generador de letras AI (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
• Generador de mensajes AI (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
• Traductor AI (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
• AI para traducción (ID: bilfflcophfehljhpnklmcelkoiffapb)
• Generador de cartas de presentación de IA (ID: cicjlpmjmimeoempffghfglndokjihhn)
• Chat con generador de imágenes de IA GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
• Generador de fondos de pantalla Ai (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
• Generador de imágenes Ai (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
• Descarga de DeepSeek (ID: kepibgehhljlecgaeihhnmibnmikbnga)
• Escritor de correo electrónico AI (ID: ckicoadchmmndbakbokhapncehanaeni)
• Generador de correo electrónico AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
• DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
• Generador de imágenes ChatGPT (ID: flnecpdpbhdblkpnegekobahlijbmfok)
• Traductor de ChatGpt (ID: acaeafediijmccnjlokgcdiojiljfpbe)
• AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
• Traducción de ChatGpt (ID: idhknpoceajhnjokpnbicildeoligdgh)
• Chat GPT para Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Una vez instaladas, estas extensiones muestran una superposición de iframe a pantalla completa que apunta a un dominio remoto («claude.tapnetic [.] pro»), lo que permite a los atacantes introducir nuevas funciones de forma remota sin necesidad de actualizar Chrome Web Store. Cuando el iframe lo indica, los complementos consultan la pestaña activa del navegador e invocan un script de contenido para extraer el contenido legible del artículo mediante la biblioteca Readability de Mozilla.

El malware también admite la capacidad de iniciar el reconocimiento de voz y filtrar la transcripción resultante a la página remota. Además, un conjunto más reducido de extensiones contiene funciones para dirigirse específicamente a Gmail, ya que leen el contenido visible del correo electrónico directamente desde el modelo de objetos de documento (DOM) cuando la víctima visita mail.google [.] com.

«Cuando se invocan funciones relacionadas con Gmail, como respuestas o resúmenes asistidos por IA, el contenido del correo electrónico extraído pasa a la lógica de la extensión y se transmite a una infraestructura de backend de terceros controlada por el operador de la extensión», afirma LayerX. «Como resultado, el texto de los mensajes de correo electrónico y los datos contextuales relacionados pueden enviarse fuera del dispositivo, fuera del límite de seguridad de Gmail, a servidores remotos».

287 extensiones de Chrome filtran el historial de navegación

Los desarrollos muestran cómo son las extensiones de los navegadores web siendo abusado cada vez más por parte de personas malintencionadas para recopilar y filtrar datos confidenciales haciéndolos pasar por herramientas y utilidades aparentemente legítimas.

Un informe publicado por Q Continuum la semana pasada encontró una enorme colección de 287 extensiones de Chrome que filtran el historial de navegación a los corredores de datos. Estas extensiones tienen 37,4 millones de instalaciones, lo que representa aproximadamente el 1% de la base mundial de usuarios de Chrome.

«En el pasado, se demostró que las extensiones de Chrome se utilizan para filtrar el historial de navegación de los usuarios, que luego recopilan corredores de datos como Similarweb y Alexa», dijo el investigador. dijo .

Dados los riesgos involucrados, los usuarios son recomendado adoptar un enfoque minimalista instalando únicamente las herramientas necesarias y bien revisadas de las tiendas oficiales. También es fundamental auditar periódicamente las extensiones instaladas para detectar cualquier signo de comportamiento malintencionado o de solicitudes de permisos excesivas.

Otras formas en las que los usuarios y las organizaciones pueden garantizar una mayor seguridad incluyen el uso de perfiles de navegador independientes para tareas delicadas y la implementación de listas de permisos de extensiones para bloquear las que son malintencionadas o no cumplen con las normas.