SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

17 dic 2025

Segu-Info » , » Extensiones de navegador maliciosas infectan millones de usuarios

Extensiones de navegador maliciosas infectan millones de usuarios

17 dic 2025, 2:00:00 p.m.   Comenta primero!
  ,  

Una nueva campaña llamada GhostPoster ha utilizado archivos de logotipos asociados a 17 complementos del navegador Mozilla Firefox para incrustar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraudes de clics y publicidad.

Según Koi Security, empresa que descubrió la campaña, las extensiones se han descargado más de 50.000 veces. Los complementos ya no están disponibles.

Por su parte, según nuevos hallazgos de Kaspersky, más de 1,31 millones de usuarios intentaron instalar extensiones de navegador maliciosas o no deseadas al menos una vez . "De enero de 2020 a junio de 2022, más de 4,3 millones de usuarios únicos fueron atacados por adware oculto en extensiones de navegador, lo que representa aproximadamente el 70% de todos los usuarios afectados por complementos maliciosos o no deseados".

Estos hallazgos llegan poco más de un mes después de que Zimperiumm revelara una familia de malware llamada ABCsoup que se hace pasar por una extensión de Google Translate como parte de una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox.

Estos extensiones del navegador se anunciaban como VPN, utilidades para capturas de pantalla, bloqueadores de anuncios y versiones no oficiales del Traductor de Google. El complemento más antiguo, el Modo Oscuro, se publicó el 25 de octubre de 2024 y ofrecía la posibilidad de activar un tema oscuro para todos los sitios web.

La lista completa de complementos para navegadores se encuentra a continuación:

  • VPN gratuita
  • Captura de pantalla
  • Tiempo (weather-best-forecast)
  • Gesto del ratón (crxMouse)
  • Caché: carga rápida de sitios
  • Descargador de MP3 gratuito
  • Traductor de Google (google-translate-right-clicks)
  • Traductor de Google
  • VPN global: gratis para siempre
  • Lector oscuro: modo oscuro
  • Traductor: Google, Bing, Baidu, DeepL
  • Tiempo (i-like-weather)
  • Traductor de Google (google-translate-pro-extension)
  • 谷歌翻译
  • libretv-watch-free-videos
  • Ad Stop: el mejor bloqueador de anuncios
  • Traductor de Google (right-click-google-translate)

"Lo que realmente ofrecen es una carga útil de malware de varias etapas que monitorea todo lo que navegas, elimina las protecciones de seguridad de tu navegador y abre una puerta trasera para la ejecución remota de código", afirmaron los investigadores de seguridad Lotan Sery y Noga Gouldman.

La cadena de ataque comienza al obtener el archivo del logotipo al cargar una de las extensiones mencionadas. El código malicioso analiza el archivo en busca de un marcador con el signo "===" para extraer código JavaScript. Un cargador se conecta a un servidor externo ("www.liveupdt[.]com" o "www.dealctr[.]com") para recuperar la carga útil principal, con un intervalo de 48 horas entre cada intento.

Para evadir aún más la detección, el cargador está configurado para recuperar la carga útil solo el 10% del tiempo. Esta aleatoriedad es una decisión deliberada que se implementa para eludir los esfuerzos de monitorización del tráfico de red. La carga útil recuperada es un completo conjunto de herramientas con codificación personalizada capaz de monetizar las actividades del navegador sin el conocimiento de las víctimas de varias maneras diferentes:

  • Secuestro de enlaces de afiliados, que intercepta enlaces de afiliados a sitios de comercio electrónico como Taobao o JD.com, privando a los afiliados legítimos de su comisión;
  • Inyección de seguimiento, que inserta el código de seguimiento de Google Analytics en cada página web visitada por la víctima para generar un perfil silencioso;
  • Eliminación de encabezados de seguridad, que elimina encabezados de seguridad como Content-Security-Policy y X-Frame-Options de las respuestas HTTP, exponiendo a los usuarios a ataques de clickjacking y cross-site scripting;
  • Inyección de iframes ocultos en las páginas para cargar URL desde servidores controlados por el atacante y permitir el fraude de anuncios y clics;
  • Omisión de CAPTCHA, que emplea varios métodos para eludir los desafíos de CAPTCHA y evadir las medidas de seguridad de detección de bots.

¿Por qué el malware necesitaría eludir los CAPTCHA? Porque algunas de sus operaciones, como las inyecciones de iframes ocultos, activan la detección de bots, explicaron los investigadores. El malware necesita demostrar su capacidad para seguir operando.

Además de las comprobaciones de probabilidad, los complementos incorporan retrasos temporales que impiden que el malware se active hasta más de seis días después de su instalación. Estas técnicas de evasión por capas dificultan la detección de lo que ocurre entre bastidores.

Cabe destacar que no todas las extensiones mencionadas utilizan la misma cadena de ataque esteganográfico, pero todas muestran el mismo comportamiento y se comunican con la misma infraestructura de comando y control (C2), lo que indica que se trata del trabajo de un único actor o grupo de amenazas que ha experimentado con diferentes señuelos y métodos.

Este desarrollo se produce tan solo unos días después de que una popular extensión de VPN para Google Chrome y Microsoft Edge fuera descubierta recopilando en secreto conversaciones de IA de ChatGPT, Claude y Gemini y filtrándolas a intermediarios de datos. En agosto de 2025, se observó que otra extensión de Chrome llamada FreeVPN.One recopilaba capturas de pantalla, información del sistema y la ubicación de los usuarios.

"Las VPN gratuitas prometen privacidad, pero nada en la vida es gratis", afirmó Koi Security. "Una y otra vez, ofrecen vigilancia".

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!