SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

16 jun 2026

Segu-Info » , » Extensiones de fondo de pantalla para Chrome con 105.000 instalaciones vinculadas a adware y tráfico falso

Extensiones de fondo de pantalla para Chrome con 105.000 instalaciones vinculadas a adware y tráfico falso

16 jun 2026, 9:49:00 a.m.   Comenta primero!
  ,  

Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que funcionan como complementos de fondo de pantalla animado para nuevas pestañas, distribuyendo una familia de programas potencialmente no deseados (PUP).

El grupo abarca 38 cuentas de editores distintas en la Chrome Web Store y tres servidores backend: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. En total, se han instalado 105.000 veces. A continuación se muestran los nombres de algunas de las extensiones.

"Cada ficha en la Chrome Web Store declara que no recopilará ni utilizará datos de usuario, mientras que la política de privacidad vinculada admite lo contrario: que las extensiones registran direcciones IP, proveedores de servicios de Internet, recuentos de clics y fuentes de referencia, y comparten esos datos con Google AdSense, DoubleClick y socios publicitarios externos", dijo Kush Pandya, investigador de seguridad de Socket.


Además, un subgrupo de las extensiones identificadas define dos URL codificadas en un archivo JavaScript ("js/bg.js") que se activan durante la instalación y desinstalación.

La URL de instalación incluye los parámetros del Módulo de Seguimiento de Urchin (UTM) "utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper", lo que hace que la extensión abra una pestaña durante la instalación como si fuera una búsqueda "orgánica".

La URL de desinstalación es una redirección a google.com/url que simula la desinstalación como una búsqueda genuina en Google.

La búsqueda orgánica en buscadores como Google se refiere a los resultados no pagados que aparecen en la página de resultados del motor de búsqueda (SERP), generados por algoritmos. Su posición se basa en parámetros como la relevancia, la autoridad y la optimización para motores de búsqueda (SEO), y es diferente de los resultados patrocinados.

Según Socket, la idea detrás de estas extensiones es crear artificialmente esa señal, lo que equivale esencialmente a fabricar el origen de su propio tráfico. "La visita no proviene de una persona que haya buscado en Google; es la extensión la que abre una pestaña automáticamente y la etiqueta como 'procedente de la búsqueda orgánica de Google'", explicó la empresa.

El ping de desinstalación va un paso más allá, envolviendo la dirección en el formato exacto google.com/url que Google utiliza para los clics en resultados de búsqueda reales, incluyendo los tokens ved y usg firmados, de modo que el clic parece el de un usuario.

Los archivos JavaScript también incluyen una capacidad latente para enumerar y eliminar todas las bases de datos IndexedDB que encuentre al iniciarse un service worker.

Se considera que la campaña es una operación de afiliados de adware comercial con fines lucrativos y fraude de atribución de tráfico, aunque se desconoce su origen exacto. Los indicios disponibles sugieren que podría haberse originado en Turquía.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!