Hackean decenas de extensiones de Chrome y más de 2,6 millones de usuarios quedan expuestos al robo de datos

En una importante vulneración de la seguridad informática, al menos 35 extensiones populares del navegador Chrome se vieron comprometidas, lo que expuso a más de 2,6 millones de usuarios a un posible robo de datos y de credenciales. El ataque se dirigió a los desarrolladores de extensiones con una campaña de phishing que permitió a los piratas informáticos inyectar código malicioso en extensiones legítimas, convirtiendo herramientas de confianza en amenazas de robo de datos.

Cómo ocurrió el ataque

La vulneración comenzó con un correo electrónico de phishing que se hacía pasar por el servicio de asistencia para desarrolladores de Google Chrome Web Store. El correo electrónico afirmaba falsamente que las extensiones en cuestión corrían el riesgo de ser eliminadas por infringir las políticas e instaba a los desarrolladores a seguir un enlace para "resolver el problema". Este enlace otorgaba permisos a una aplicación OAuth maliciosa llamada "Extensión de política de privacidad", lo que daba a los atacantes acceso a las cuentas de los desarrolladores.

Una vez obtenido el acceso, se cargó un código malicioso en las extensiones afectadas. Este código:

  • Robó cookies y tokens de acceso de usuarios .
  • Se comunicó con servidores de comando y control (C&C) para descargar instrucciones adicionales.
  • Datos de usuarios exfiltrados para su posterior explotación.

El ataque salió a la luz cuando la empresa de ciberseguridad Cyberhaven reveló que uno de sus empleados fue el objetivo el 24 de diciembre. La extensión del navegador de la empresa fue rápidamente explotada, pero este incidente fue solo la punta del iceberg.

Lista completa de extensiones comprometidas

A medida que los investigadores profundizaron, identificaron las siguientes extensiones de Chrome comprometidas:

  1. Asistente de inteligencia artificial: ChatGPT y Gemini para Chrome
  2. Extensión de chat de Bard AI
  3. Resumen de GPT 4 con OpenAI
  4. Buscar en Copilot AI Assistant para Chrome
  5. Asistente de inteligencia artificial TinaMind
  6. IA de Wayin
  7. Ciudad VPN
  8. VPN de Internet
  9. Grabadora de vídeo Vidnoz Flex
  10. Descargador de videos VidHelper
  11. Cambiador de favicon de marcadores
  12. Castorus
  13. Uvoice
  14. Modo de lectura
  15. Charlas de loros
  16. Hornillo de camping
  17. Tackker - Herramienta de registro de teclas en línea
  18. Compañero de tienda con inteligencia artificial
  19. Ordenar por más antiguo
  20. Automatizador de búsqueda de recompensas
  21. Asistente de ChatGPT: búsqueda inteligente
  22. Grabador de historial de teclado
  23. Cazador de correos electrónicos
  24. Efectos visuales para Google Meet
  25. Earny - Hasta un 20 % de reembolso en efectivo
  26. ¿Dónde está Cookie?
  27. Espejo web
  28. Aplicación ChatGPT
  29. Hola IA
  30. Administrador de contraseñas Web3
  31. Asistente de YesCaptcha
  32. Conmutador de proxy Omega (V3)
  33. Inspector de red GraphQL
  34. ChatGPT para Google Meet
  35. Resumen de GPT 4 con OpenAI

Esta lista completa destaca el alcance de la violación, que afecta a las extensiones utilizadas para asistencia de inteligencia artificial, servicios de VPN, productividad y más.

Actividades maliciosas descubiertas

Los atacantes no solo robaron datos. El análisis de las extensiones comprometidas reveló lo siguiente:

  • Segmentación por identidad y credenciales : el código malicioso buscaba tokens de acceso e información de identidad, en particular cuentas de anuncios de Facebook.
  • Monitoreo de clics del mouse : el código registra los clics del usuario en las páginas de Facebook para capturar códigos QR, evitando potencialmente la autenticación de dos factores (2FA) .
  • Esquemas de monetización : en algunos casos, los desarrolladores ya habían incluido SDK de recopilación de datos para monetización antes de la violación.

Extensiones como Visual Effects para Google Meet utilizaban una biblioteca de bloqueo de anuncios vinculada a Urban VPN que recopilaba datos de los usuarios de forma sigilosa.

¿Cuánto tiempo lleva sucediendo esto?

La evidencia sugiere que esta campaña puede haber estado activa desde 2022 o antes. Los investigadores rastrearon registros de dominios vinculados a la actividad maliciosa desde 2021. Por ejemplo:

  • El dominio nagofsg[.]com se registró en agosto de 2022.
  • El dominio sclpfybn[.]com se registró en julio de 2021.

Riesgos actuales

Aunque se han eliminado o actualizado muchas extensiones comprometidas en Chrome Web Store, el riesgo no se ha mitigado por completo. Si la versión maliciosa de una extensión sigue activa en el dispositivo de un usuario, puede seguir robando datos.

"Eliminar una extensión de Chrome Web Store no la elimina automáticamente de los puntos finales del usuario", advierte Or Eshed, director ejecutivo de LayerX Security.

Qué puedes hacer

A continuación se indican los pasos que puede seguir para proteger sus datos:

  1. Desinstalar las extensiones afectadas : revise la lista de extensiones comprometidas y elimine todas las que haya instalado.
  2. Revocar permisos : si otorgaste algún permiso a extensiones o aplicaciones sospechosas, revocalas inmediatamente en la configuración de tu cuenta Google.
  3. Habilite la autenticación de dos factores : fortalezca sus cuentas con la autenticación de dos factores siempre que sea posible.
  4. Actualizar contraseñas : cambie las contraseñas de las cuentas que puedan haber estado expuestas.
  5. Monitorizar actividad inusual : esté atento a accesos o actividades no autorizados en sus cuentas.

Reflexiones finales

Este incidente pone de relieve la necesidad crítica de estar alerta al utilizar extensiones de navegador. Si bien las extensiones son herramientas poderosas, también representan riesgos de seguridad importantes si se ven comprometidas. Tanto los desarrolladores como los usuarios deben permanecer alertas ante las campañas de phishing y examinar los permisos y las actualizaciones.

El proceso de revisión de Chrome Web Store de Google también deberá adaptarse para detectar mejor la actividad maliciosa y proteger a los usuarios de amenazas similares en el futuro.

Si se mantienen informados y son proactivos, los usuarios pueden ayudar a minimizar los riesgos que plantean este y futuros ataques. No permita que las herramientas de confianza se conviertan en una puerta de entrada para los cibercriminales: tome medidas para proteger sus datos hoy mismo.

En Zane
January 6, 2025
Computer Security
Spanish
January 6, 2025
Computer Security

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.