Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Extensiones de Chrome de Infostealer

Extensiones de Chrome de Infostealer

Por Mezo en Software malicioso, Ladrones
Traducir a:

Analistas de seguridad han identificado una extensión fraudulenta de Google Chrome diseñada para recopilar datos confidenciales de entornos Meta Business. La extensión, CL Suite de @CLMasters, se presenta como una herramienta de productividad para usuarios de Meta Business Suite y Facebook Business Manager. Promocionada como una utilidad para extraer datos empresariales, eludir las solicitudes de verificación y generar códigos de autenticación de dos factores (2FA), se publicó en Chrome Web Store el 1 de marzo de 2025.

A pesar de que su política de privacidad afirma que los secretos de 2FA y los datos de Business Manager permanecen restringidos al entorno local, un análisis técnico revela una realidad diferente. La extensión solicita amplios permisos sobre los dominios meta.com y facebook.com y transmite de forma encubierta información confidencial a la infraestructura controlada por el atacante.

Capacidades de exfiltración encubierta de datos

La extensión recopila y exporta silenciosamente datos de alto valor de sesiones Meta autenticadas. La información exfiltrada se envía a un backend alojado en getauth[.]pro, con un mecanismo opcional para reenviar las mismas cargas útiles a un canal de Telegram operado por el actor de amenazas.

El alcance completo de la funcionalidad de recopilación de datos de la extensión incluye:

  • Robo de semillas TOTP y códigos 2FA activos utilizados para proteger cuentas Meta y Facebook Business
  • Extracción de datos de "Personas" de Business Manager, compilados en archivos CSV que contienen nombres, direcciones de correo electrónico, roles asignados, niveles de permiso y estados de acceso
  • Enumeración de entidades de Business Manager y activos vinculados, incluidas cuentas de anuncios, páginas asociadas, conexiones de activos, configuraciones de facturación y detalles de pago

Aunque el complemento no captura directamente las contraseñas, los atacantes podrían combinar las contraseñas de un solo uso basadas en tiempo robadas con credenciales obtenidas de registros de robadores de información o bases de datos filtradas para obtener acceso no autorizado a las cuentas.

Los investigadores de seguridad advierten que incluso con una base de instalación relativamente pequeña, la inteligencia reunida es suficiente para identificar objetivos corporativos de alto valor y facilitar ataques posteriores.

Raspado disfrazado de productividad

El caso de CL Suite ilustra cómo las extensiones de navegador de alcance limitado pueden camuflar la recolección agresiva de datos como mejoras legítimas del flujo de trabajo. Funciones como la extracción de contactos, la recopilación de análisis, la supresión de ventanas emergentes de verificación y la generación de autenticación en dos pasos (2FA) en el navegador no son herramientas neutrales. En cambio, funcionan como scrapers diseñados específicamente para extraer listas de contactos, metadatos y material de autenticación directamente de las interfaces empresariales Meta autenticadas.

Al integrarse en flujos de trabajo confiables, dichas extensiones evitan las sospechas de los usuarios y operan dentro de los límites de seguridad de las sesiones activas.

La campaña AiFrame: Asistentes de IA convertidos en servidores de datos

En una campaña independiente pero coordinada, denominada AiFrame, los investigadores descubrieron 32 extensiones de navegador comercializadas como asistentes con inteligencia artificial para resúmenes, chat, asistencia para la escritura y productividad en Gmail. En conjunto, estos complementos han acumulado más de 260.000 instalaciones.

Aunque parecen legítimas, las extensiones se basan en una arquitectura remota basada en servidor. En lugar de procesar datos localmente, integran superposiciones de iframes a pantalla completa que se conectan al dominio claude.tapnetic[.]pro. Este diseño permite a los operadores introducir nuevas funciones dinámicamente sin publicar actualizaciones a través de Chrome Web Store.

Una vez implementadas, estas extensiones actúan como intermediarios privilegiados entre el navegador y la infraestructura remota. Al activarse, inspeccionan la pestaña activa y utilizan la biblioteca Readability de Mozilla para extraer el contenido del artículo. Otras funciones incluyen el reconocimiento de voz y la transmisión de las transcripciones capturadas a servidores externos.

Un subconjunto de las extensiones está dirigido específicamente a Gmail. Cuando los usuarios acceden a mail.google.com y activan las funciones de respuesta o resumen basadas en IA, el contenido visible del correo electrónico se extrae directamente del modelo de objetos de documento (DOM) y se transmite a sistemas backend de terceros controlados por los operadores. En consecuencia, el contenido del correo electrónico y los metadatos contextuales pueden transferirse fuera del entorno protegido de Gmail a servidores remotos sin que el usuario lo sepa.

Abuso de extensiones a gran escala y corretaje de datos

El uso indebido de las extensiones del navegador no se limita a campañas aisladas. Los investigadores también han identificado 287 extensiones de Chrome que se han instalado en conjunto 37,4 millones de veces (aproximadamente el 1 % de la base global de usuarios de Chrome) y que filtran historiales de navegación a intermediarios de datos.

Investigaciones previas han demostrado cómo empresas como Similarweb y Alexa agregan y monetizan los datos de navegación recopilados. Estos hallazgos subrayan la escala a la que puede operar la vigilancia basada en extensiones.

Fortalecimiento de la defensa contra extensiones maliciosas

Ante el creciente panorama de amenazas, las organizaciones y los usuarios individuales deben adoptar prácticas rigurosas de gestión de extensiones. Entre las medidas de defensa eficaces se incluyen:

  • Instalar únicamente extensiones esenciales y bien revisadas de mercados oficiales
  • Realizar auditorías periódicas de las extensiones instaladas para detectar permisos excesivos o comportamiento anómalo
  • Uso de perfiles de navegador separados para actividades sensibles
  • Implementar la lista blanca de extensiones dentro de entornos empresariales para bloquear complementos no autorizados o no conformes

Las extensiones del navegador operan con privilegios considerables dentro de sesiones de confianza. Sin una supervisión rigurosa, pueden convertirse en potentes canales para la exfiltración de datos y la vulneración de credenciales.

System Messages

The following system messages may be associated with Extensiones de Chrome de Infostealer:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Tendencias

Un Método Actualizado Para Bloquear los Virus...

Seguridad informática
Un virus informático es un programa informático que no sólo suena desagradable, pero también es peligroso de tener en su sistema informático, no importa qué tipo de virus es, malware, adware, spyware, etc.. Cuando un nuevo virus informático invade el mundo de la informática en línea, hay menos probabilidad de que el software anti-virus del usuario sea capaz de ser lo suficientemente eficaz para...

Mas Visto

Cargando...