{"id":1726986,"date":"2025-05-20T16:44:04","date_gmt":"2025-05-20T16:44:04","guid":{"rendered":"https:\/\/teknomers.com\/es\/mas-de-100-extensiones-de-cromo-falsas-encontradas-sesiones-de-secuencia-robo-de-credenciales-inyectando-anuncios\/"},"modified":"2025-05-20T16:44:09","modified_gmt":"2025-05-20T16:44:09","slug":"mas-de-100-extensiones-de-cromo-falsas-encontradas-sesiones-de-secuencia-robo-de-credenciales-inyectando-anuncios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mas-de-100-extensiones-de-cromo-falsas-encontradas-sesiones-de-secuencia-robo-de-credenciales-inyectando-anuncios\/","title":{"rendered":"M\u00e1s de 100 extensiones de cromo falsas encontradas sesiones de secuencia, robo de credenciales, inyectando anuncios"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Robo de credencial \/ seguridad del navegador<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un actor de amenaza desconocido ha sido atribuido a la creaci\u00f3n Varias extensiones de navegador de cromo malicioso<\/a> Desde febrero de 2024, eso se disfraza de utilidades aparentemente benignas, pero incorpora funcionalidad encubierta para exfiltrar datos, recibir comandos y ejecutar c\u00f3digo arbitrario.<\/p>\n

“El actor crea sitios web que se disfrazan de servicios leg\u00edtimos, herramientas de productividad, creaci\u00f3n de anuncios y medios de comunicaci\u00f3n o asistentes de an\u00e1lisis, servicios VPN, criptograf\u00eda, banca y m\u00e1s para dirigir a los usuarios a instalar extensiones maliciosas correspondientes en la tienda web Chrome (CWS) de Google”, el equipo de Domaedools Intelligence (DTI) dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

Si bien los complementos del navegador parecen ofrecer las caracter\u00edsticas anunciadas, tambi\u00e9n permiten el robo de credenciales y cookies, secuestro de sesiones, inyecci\u00f3n de AD, redirecciones maliciosas, manipulaci\u00f3n de tr\u00e1fico y phishing a trav\u00e9s de la manipulaci\u00f3n DOM.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Otro factor que funciona a favor de las extensiones es que est\u00e1n configurados para otorgarse permisos excesivos a trav\u00e9s del archivo Manifest.json, lo que les permite interactuar con cada sitio visitado en el navegador, ejecutar c\u00f3digo arbitrario recuperado de un dominio controlado por el atacante, realizar redireccionamientos maliciosos e incluso anuncios inyectados.<\/p>\n

Tambi\u00e9n se ha encontrado que las extensiones conf\u00edan en el “ineset<\/a>“El controlador de eventos en un elemento del modelo de objeto de documento temporal (DOM) para ejecutar el c\u00f3digo, probablemente en un intento de evitar la Pol\u00edtica de seguridad de contenido (CSP). <\/p>\n

Algunos de los sitios web de se\u00f1ores identificados se hacen pasar por productos y servicios leg\u00edtimos como Deepseek, Manus, DeBank, FortivPN y las estad\u00edsticas del sitio para atraer a los usuarios a descargar e instalar las extensiones. Los complementos luego proceden a Harvest Browser Cookies, obtienen scripts arbitrarios de un servidor remoto y configuran una conexi\u00f3n WebSocket para actuar como un proxy de red para el enrutamiento de tr\u00e1fico.<\/p>\n

\"\"<\/a><\/div>\n

Actualmente no hay visibilidad sobre c\u00f3mo las v\u00edctimas son redirigidas a los sitios falsos, pero Domainteols le dijo a la publicaci\u00f3n que podr\u00eda involucrar m\u00e9todos habituales como el phishing y las redes sociales.<\/p>\n

“Debido a que aparecen tanto en la tienda web de Chrome como en los sitios web adyacentes, pueden regresar de los resultados en las b\u00fasquedas web normales y para las b\u00fasquedas dentro de la tienda Chrome”, dijo la compa\u00f1\u00eda. “Muchos de los sitios web de Lure utilizaron ID de seguimiento de Facebook, lo que sugiere fuertemente que est\u00e1n aprovechando las aplicaciones de Facebook \/ Meta de alguna manera para atraer a los visitantes del sitio. Posiblemente a trav\u00e9s de p\u00e1ginas de Facebook, grupos e incluso anuncios”.<\/p>\n

Al escribir, no se sabe qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a, aunque los actores de amenaza han establecido m\u00e1s de 100 sitios web falsos y extensiones de cromo maliciosas. Google, por su parte, ha eliminado las extensiones.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Para mitigar los riesgos, se aconseja a los usuarios que se mantengan con desarrolladores verificados antes de descargar extensiones, revisar los permisos solicitados, examinar las revisiones y abstenerse de usar extensiones parecidas.<\/p>\n

Dicho esto, tambi\u00e9n vale la pena tener en cuenta que las calificaciones podr\u00edan ser manipuladas e infladas artificialmente filtrando la retroalimentaci\u00f3n negativa de los usuarios.<\/p>\n

Domaineols, en un an\u00e1lisis publicado a fines del mes pasado, encontr\u00f3<\/a> Evidencia de extensiones que se esfuerzan a los usuarios que redirigieron a los usuarios que proporcionan bajas calificaciones (1-3 estrellas) a un formulario de retroalimentaci\u00f3n privada en el bot\u00f3n AI-chat[.]Dominio Pro, mientras env\u00eda aquellos que proporcionan altas calificaciones (4-5 estrellas) a la p\u00e1gina oficial de revisi\u00f3n de la tienda web Chrome.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n