LayerX ha identificado más de 40 extensiones de navegador maliciosas que forman parte de tres campañas de phishing distintas.
La detección inicial de esta campaña fue realizada por el Inteligencia de DomainTools (DTI) equipo, quien identificó una lista de dominios sospechosos que se comunicaban con extensiones de navegador que se hacían pasar por marcas legítimas. Sin embargo, aunque la investigación de DTI proporcionó... lista de dominios maliciosos, no identificó la lista completa de extensiones maliciosas individuales.
Basándose en la investigación inicial de DTI, LayerX investigó las URL marcadas para descubrir los metadatos reales de la extensión de Chrome. Al analizar las páginas de extensión asociadas, LayerX pudo identificar:
- ID de extensión
- Nombres de extensiones
- Los editores detrás de ellos
- Metadatos de extensión, como fecha de publicación, última actualización de software, etc.
Esta investigación reveló Más de 40 extensiones maliciosas, muchos de los cuales todavía están activos en Google Chrome Store.
La lista completa de extensiones se proporciona al final de esta publicación.
Principales hallazgos del análisis de LayerX
Tras un análisis más detallado de las páginas de extensión y los comportamientos, LayerX descubrió varios patrones y conocimientos importantes:
1. Páginas de extensión generadas por IA
Las páginas de extensión maliciosas presentaban una estructura, un formato y un lenguaje muy similares, lo que indicaba la probabilidad de que se generaran automáticamente mediante herramientas de IA. Esta táctica permitió a los cibercriminales escalar rápidamente sus ataques entre docenas de herramientas falsas con un mínimo esfuerzo manual.
2. Suplantación de herramientas y marcas populares
Las extensiones fueron cuidadosamente diseñadas para imitar plataformas conocidas, entre las que se incluyen:
- Fortinet / FortiVPN
- Inteligencia artificial DeepSeek
- Calendario
- Herramientas de ayuda de YouTube
- Servicios públicos de criptomonedas como DeBank
Al aprovecharse de la confianza de nombres establecidos, estas herramientas maliciosas eludieron eficazmente las sospechas de los usuarios y evadieron el escrutinio durante la instalación.
3. Sofisticada mascarada de marca
No solo intentaron hacerse pasar por extensiones y/o marcas legítimas conocidas, sino que intentaron parecer similares:
- Nombres de dominio registrados que parecían similares (por ejemplo, calendlydaily[.]world y calendly-director[.com], para hacerse pasar por Calendly)
- Para todas las extensiones que forman parte de esta campaña, el dominio del editor y del contacto de correo electrónico no eran una cuenta privada de Gmail, sino un dominio independiente, para que pareciera más creíble.
- Las direcciones de correo electrónico de contacto siguieron un formato estándar de “soporte@nombre-de-dominio”, lo que nuevamente le dio más credibilidad y lo hizo parecer como si hubiera un editor legítimo detrás.
Estas extensiones otorgan a los atacantes acceso persistente a las sesiones de los usuarios, lo que permite el robo de datos, la suplantación de identidad y el posible ingreso a entornos corporativos.
Cómo pueden responder las organizaciones
La actual ola de extensiones maliciosas pone de relieve un punto débil clave en la seguridad de muchas organizaciones: el propio navegador. A continuación, se explica cómo las organizaciones pueden tomar medidas proactivas para mitigar los riesgos:
1. Bloquear extensiones maliciosas por ID de extensión
Las organizaciones pueden bloquear manualmente las extensiones maliciosas mediante MDM o la aplicación de políticas del navegador. Sin embargo, este método suele ser laborioso, ya que requiere que los equipos de seguridad rastreen los ID de las extensiones, monitoreen las nuevas amenazas y respondan casi en tiempo real.
2. Hacer cumplir la higiene de las extensiones
Adopte políticas básicas de higiene para las extensiones del navegador:
- Bloquear extensiones de editores desconocidos o no verificados
- Restringir la instalación de extensiones jóvenes (publicado recientemente)
- Marcar extensiones con un recuento bajo de revisiones o solicitudes de permisos inusuales
- Evite las herramientas asociadas con dominios sospechosos o que suplantan marcas
3. Bloquear extensiones incluso si se han eliminado de Chrome Store
Aunque algunas extensiones comprometidas ya se han eliminado de Google Chrome Store, esta eliminación no elimina las instalaciones activas de los navegadores de los usuarios. Por lo tanto, los usuarios y las organizaciones deben eliminarlas manualmente.
Cómo puede ayudar LayerX
LayerX ofrece una plataforma de seguridad para navegadores diseñada específicamente para supervisar y evaluar las extensiones en tiempo real. Ofrece detección completa de todas las extensiones, clasificación automática de riesgos y opciones de cumplimiento granular para bloquear extensiones maliciosas.
Entre otras capacidades, puede:
- Bloquear automáticamente extensiones maliciosas o de alto riesgo
- Detecta extensiones que realizan acciones sospechosas como robar cookies, inyectar scripts, etc.
- Permitir que los administradores establezcan y apliquen políticas de extensión en toda la organización
- Manténgase al día con las amenazas de rápida evolución mediante telemetría e inteligencia de amenazas.
Para las organizaciones preocupadas por la exposición a amenazas de sus extensiones de navegador, LayerX ofrece una auditoría gratuita de extensiones de navegador. Esta auditoría incluye la detección de todas las extensiones de navegador instaladas en su entorno, el mapeo de qué extensiones tienen instaladas los usuarios y recomendaciones prácticas para remediar la exposición a extensiones maliciosas.
Haga clic aquí para inscribirse en la auditoría de extensión complementaria.
Lista de ID de extensiones maliciosas:
| ID de extensión | Nombre de la extensión | Publisher |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Asistente de IA gratuito | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Estadísticas | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generador de nombres de marcas de ropa | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Activos digitales | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Sector AML | Comprobador gratuito de AML de criptomonedas | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Visión de las ballenas criptográficas | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Diario | Software gratuito para programar reuniones | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Software gratuito para programar reuniones | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter: herramienta gratuita para Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Twin Web | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | Evento Esfera | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | Navegador SQLite | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | Chat de IA de DeepSeek | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | Reescritor de frases con IA | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Convierte PDF a JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | Validador HTML | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | Comprobador de CMS | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Calculadora de salario por hora | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | Validador de CSS | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Comprobador de correo electrónico: verifique la dirección de correo electrónico con un solo clic | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Alerta de ballena criptográfica: datos de transacciones de blockchain | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Análisis web: comprobador de tráfico web y SEO | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision: herramienta gratuita para espiar anuncios de Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus: la superapp para anunciantes meta | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net: Comprobador de tráfico web y SEO | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy: herramienta gratuita para espiar anuncios de Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | VPN gratis – Raccoon | VPN ilimitada | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhhldcpoeppcofdic | VPN gratis – Orchid | VPN ilimitada | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN gratis: Proxy VPN ilimitado de Soul VPN | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Monitoreo del sitio web | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | Escritor de IA | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | Generador de anuncios de IA | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Generador de titulares | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Vigilancia web | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Visión de YouTube | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Métricas web: comprobador de tráfico web y SEO | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Precio de bitcoin en vivo | https://bitcoin-price[.]live |
| oliideaalkijolilhhaibhbjfhbdcnm | Acortador de enlaces | https://u99[.]pro |
