Inicio Blog Adquisición silenciosa: cómo las extensiones de Chrome compradas se convirtieron en herramientas de manipulación de páginas web controladas a distancia

Adquisición silenciosa: cómo las extensiones de Chrome compradas se convirtieron en herramientas de manipulación de páginas web controladas a distancia

 

Resumen Ejecutivo

Nuestra investigación descubrió una campaña coordinada en la que varias extensiones de Chrome, inicialmente inofensivas y con fines no relacionados, se transformaron en herramientas de inyección de contenido controladas remotamente. Aunque las extensiones parecían inofensivas y no solicitaban permisos especiales, cada una fue modificada para descargar periódicamente un archivo de configuración de un dominio controlado por el atacante. Estas reglas dinámicas permitían a las extensiones sobrescribir el contenido de las páginas web, inyectar HTML externo y manipular los sitios visitados por el usuario sin necesidad de actualizar la Web Store.

El análisis de la infraestructura reveló que se introdujo la funcionalidad maliciosa de las extensiones Inmediatamente después de las transferencias de propiedad en Chrome Web Store, un patrón observado en varios casos. Paralelamente, se registraron los dominios de comando y control (C2) utilizados para entregar instrucciones remotas. Poco antes de que se publicaran las actualizaciones comprometidas, lo que sugiere una preparación premeditada de la infraestructura del atacante. La convergencia de una lógica de inyección idéntica, patrones arquitectónicos compartidos, registros de dominio sincronizados y cambios de código posteriores a la adquisición indican que estas extensiones fueron comprometidas y puestas en funcionamiento como parte de un campaña coordinada y respaldada por infraestructura más que incidentes aislados.

Análisis técnico

Si bien cada extensión presentaba una característica benigna diferente, el código interno implementaba los mismos comportamientos de alto riesgo. En todas las extensiones analizadas, un mecanismo oculto recurrente permitía la manipulación remota y dinámica de páginas web. A continuación, nos centraremos en el comportamiento malicioso persistente en todas las extensiones detectadas:

  1. Obtención remota de configuración

Cada extensión contactaba a un servidor externo cada 5 minutos para descargar un nuevo archivo de configuración (config.php o theme.php).

Este archivo contenía instrucciones que controlaban:

  • ¿A qué sitios web dirigirse?
  • ¿Qué elementos del DOM modificar?
  • ¿Qué carga útil remota inyectar?

Figura 1. Una expresión regular que coincide con 'location.href'

Debido a que estas configuraciones provienen de dominios controlados por los atacantes, el comportamiento de la extensión se puede cambiar instantáneamente, sin ninguna actualización a través de Chrome Web Store.

Este diseño crea efectivamente una canal de comando y control dentro del navegador.

  1. Inyección dinámica de DOM

La configuración descargada define reglas como:

  • patrón – expresiones regulares para que coincidan con los sitios web específicos
  • selector – elementos en el DOM para sobrescribir
  • url – punto final remoto que proporciona HTML/texto inyectado
  • attr – la propiedad DOM a reemplazar (por ejemplo, innerHTML, src, href)

Figura 2. Reemplazo de objetos DOM

Las extensiones utilizaron estas reglas para obtener contenido controlado por el atacante e inyectarlo directamente en las páginas web:

Esto permite que los servidores remotos:

  • Reemplazar formularios de inicio de sesión
  • Insertar superposiciones de phishing
  • Modificar páginas financieras o de compras
  • Inyectar anuncios o balizas de seguimiento
  • Modificar el contenido de las redes sociales

Todos Sin alertas, permisos ni visibilidad del usuario.

  1. Manipulación persistente mediante MutationObservers

Para garantizar que el sitio web no pueda deshacer las modificaciones, la extensión utiliza MutationObserver. 

Esto vuelve a aplicar continuamente el contenido inyectado cada vez que la página se actualiza, lo que garantiza una manipulación persistente y sigilosa.

Las extensiones comparten una arquitectura común diseñada para permitir que los servidores remotos reescribir cualquier página web que visite el usuarioDe forma silenciosa y repetida. Esto constituye un marco de manipulación del navegador altamente flexible y peligroso, que se hace pasar por utilidades inofensivas.

Análisis de infraestructura

Nuestra investigación reveló un ecosistema coordinado de transferencias de propiedad de extensiones, dominios de comando y control (C2) aprovisionados rápidamente y actualizaciones maliciosas sincronizadas, fuertes indicadores de que estas extensiones fueron comprometidas y puestas en funcionamiento como parte de una campaña estructurada en lugar de eventos aislados.

  1. Transferencias de propiedad de extensiones y uso de armas después de la adquisición

Los metadatos históricos de Chrome Web Store muestran un patrón consistente: las extensiones se comportaron de forma benigna hasta poco después de que cambiaran de propietario. En múltiples muestras, observamos lo siguiente:

  • Una modificación del propietario o desarrollador de la extensión indicada poco antes de la actualización maliciosa.
  • No hay evidencia de lógica de configuración remota en versiones anteriores.
  • Una inserción repentina de:
    • Recuperación periódica de archivos de configuración remota
    • Conjuntos de reglas para la reescritura del DOM
    • Beacon llama a install.php
    • Código de soporte que permite la manipulación persistente de contenido

Las reseñas de los usuarios corroboran esta cronología, señalando un comportamiento inesperado inmediatamente después de estas actualizaciones.

Esto se alinea con una estrategia conocida en las campañas de abuso de extensiones: Los actores de amenazas compran extensiones de alta instalación y las equipan con un marco malicioso modular.

  1.  Acoplamiento temporal entre el registro de dominios C2 y las actualizaciones maliciosas

El análisis de los registros WHOIS de la infraestructura utilizada por las extensiones revela una sorprendente correlación temporal.

Observaciones clave:

  • Los dominios fueron registrados dias a semanas antes de que se publicaran las versiones de extensión maliciosas.
  • Las actualizaciones maliciosas comenzaron a consultar estos dominios casi inmediatamente después de que se pusieron en línea.
  • Los dominios comparten convenciones de nombres y características de infraestructura similares, lo que sugiere un aprovisionamiento centralizado.

Este patrón es consistente con los adversarios que preparan la infraestructura operativa inmediatamente antes de activar las extensiones comprometidas.

  1. Versiones limpias vs. versiones maliciosas

Las comparaciones de código entre versiones anteriores y posteriores resaltan un claro punto de inflexión:

Versiones pre-compromiso (benignas)

  • Contenía únicamente la funcionalidad anunciada (por ejemplo, edición de imágenes, detección de vídeo, extracción de DOI).
  • No hay recursos de configuración externos.
  • Sin inyección de contenido dinámico.
  • No hay mecanismos de monitoreo persistentes (por ejemplo, MutationObservers).
  • Sin API de depuración ni de toma de huellas dactilares.

Versiones post-compromiso (maliciosas)

  • Se agregó un bucle de recuperación de configuración remota (normalmente un sondeo de 5 minutos).
  • Se introdujo la manipulación del DOM basada en instrucciones utilizando reglas que coinciden con expresiones regulares.
  • Se incorporó un motor de inyección reutilizable capaz de sobrescribir contenido de página arbitrario.
  • Balizas de instalación integradas para telemetría a dominios controlados por atacantes.

Figura 3. kbaofbaehfbehifbkhplkifihabcicoi antes y después

El diferencial apoya firmemente la hipótesis de una utilización deliberada de armas después de la adquisición.

  1. Indicadores de un conjunto de herramientas compartido o un actor de amenazas unificado

Una comparación de extensión cruzada reveló un alto grado de similitud estructural:

  • Intervalos de sondeo idénticos (300 segundos).
  • Lógica casi idéntica para analizar las reglas de configuración remota.
  • Nombramiento consistente de campos como pathMatch, selector, applyMethod, resourceLink.
  • Puntos finales remotos recurrentes (config.php, theme.php, install.php).
  • Patrones de supresión de errores similares y llamadas fetch() que fallan silenciosamente.
  • Patrones coincidentes en cómo el contenido inyectado reemplaza los atributos DOM.
ID de extensión Cambio de propietario Registro de Dominio Versión maliciosa enviada
kbaofbaehfbehifbkhplkifihabcicoi 2025-07-19 2025-07-27 2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif 2025-07-23 2025-08-20 2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh 2025-07-19 2025-08-20 2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj 2025-04-14 2025-08-22 2025-08-26
pgfjnclkpdmocilijgalomiaokgjejdm 2025-07-19 2025-08-13 2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf 2025-09-21 2025-09-23 2025-09-25
ggjlkinaanncojaippgbndimlhcdlohf 2024-09-25 2024-09-30 2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb 2024-12-13 2025-02-03 2025-02-07

La convergencia entre múltiples extensiones con marcas independientes sugiere un único desarrollador del marco malicioso o un servicio criminal que ofrece un kit de herramientas llave en mano para convertir las extensiones en armas.

La infraestructura, los plazos y las relaciones del código base indican colectivamente una operación coordinada en lugar de un abuso oportunista o no relacionado.

Campaña de diciembre de 2025

LayerX Security monitorea continuamente los casos en los que extensiones de navegador previamente benignas se convierten en maliciosas. En diciembre, identificamos varias extensiones adicionales publicadas por los mismos autores que se transformaron en maliciosas, lo que reveló una nueva campaña centrada en convertir extensiones benignas en adware agresivo.

Las extensiones parecen inicialmente inofensivas e implementan una funcionalidad simple. Sin embargo, junto con esta funcionalidad declarada, el código también recupera una configuración remota de un servidor externo. Esta configuración contiene una lista de dominios en los que la extensión inyecta notificaciones engañosas, cada una con una URL integrada que impulsa la cadena de infección.

Figura 4. Archivo de configuración recuperado.

Cuando un usuario visita uno de estos dominios, se muestra inmediatamente una notificación maliciosa que solicita un paso de “verificación humana”.

Figura 5. Notificación falsa.

El botón de verificación redirige a la víctima a páginas sucesivas de "no es un robot" que solo muestran imágenes estáticas. En segundo plano, un script registra un service worker, toma la huella digital del dispositivo, el navegador y el sistema operativo del usuario y transmite esta información a pushtorm.net. A continuación, se le solicita al usuario que otorgue permisos de notificación.

Figura 6. Solicitud de permiso.

Una vez concedida, la extensión envía repetidamente anuncios intrusivos a través del mismo mecanismo de abuso de notificaciones y redirección, sometiendo efectivamente al usuario a un comportamiento de adware persistente y agresivo.

Conclusión

Nuestro análisis revela que estas extensiones no eran casos aislados de comportamiento malicioso, sino componentes de un marco de distribución coordinado y en evolución. Si bien cada extensión presentaba una característica benigna diferente, compartían un motor de inyección remoto común, una lógica de configuración idéntica y un ciclo de sondeo constante de 5 minutos.

El análisis de la infraestructura muestra además que la mayoría de las ampliaciones fueron Utilizados como armas solo después de la transferencia de propiedad, y los dominios de comando y control controlados por el atacante fueron registrado poco antes de las actualizaciones maliciosasEste estrecho acoplamiento indica claramente una campaña deliberada y organizada que adquiere extensiones legítimas y las equipa con un conjunto de herramientas modular de inyección de contenido.

En conjunto, estos hallazgos demuestran un patrón claro: un sistema escalable y de gestión centralizada, diseñado para manipular páginas web, implementar cargas útiles arbitrarias y evolucionar rápidamente sin necesidad de nuevas actualizaciones de la tienda web. Esto pone de manifiesto un punto ciego significativo en los modelos actuales de revisión de extensiones y subraya la necesidad de una detección más sólida de comportamientos de configuración remota y abuso de extensiones tras la adquisición.

IOCs

Identificadores de extensiones - Extensiones actualmente activas

ID Nombre Se instala
kbaofbaehfbehifbkhplkifihabcicoi Editor de PhotoExpress 5,000
ijhbioflmfpgfmgapjnojopobfncdeif Extensión Canva para Chrome | Editor de diseño, arte e IA 1,000
nimnhhcainjoacphlmhbkodofenjgobh Protector de archivos de Internet 2,000
jleonlfcaijhkgejhhjfjinedgficgaj Editor y descargador de vídeos CapCut 6,000
pgfjnclkpdmocilijgalomiaokgjejdm SnapConnect para Chrome 2,000
jnkmepoonohhfijlbajdphhinhkoefjn Complemento de servicio de impresión HP

 

 1,000
gmmhcbmmnclgmmjimiiefhiagmpamdlb Edita lo que quieras - Impulsa cualquier página 780
ooobfpifjkgeopllkalfgkbiefhooggl Hacker profesional de Blooket

 

 2,000
cehifnkfcddaeppdajpfldbpommggaca Hacker de Kahoot

 

 1,000
eggegjdejilddmnlglakcaigefefcdaf Ficción interactiva

 

 350

Identificadores de extensión: eliminados de las extensiones de la tienda.

ID Nombre Se instala
eekibodjacokkihmicbjgdpdfhkjemlf Ficción interactiva 3,000
ggjlkinaanncojaippgbndimlhcdlohf PaperPanda: obtenga millones de artículos de investigación 100,000
ncbknoohfjmcfneopnfkapmkblaenokb Vytal - Falsificación de zona horaria, geolocalización, configuración regional y seguridad 40,000

Dominios y correos electrónicos de soporte

TTP

Táctica Tecnologia
Desarrollo de recursos LX2.001(T1588) - Obtener capacidades
Acceso a credenciales LX8.008 - Manipulación de la red
Descubrimiento: LX9.003 (T1082) - Descubrimiento de información del sistema
Comando y control LX11.004 - Establecer conexión de red
Impacto LX13.004.1 (T1565) - Manipulación de datos: Manipulación de contenido

Remediación y mitigación

Para usuarios

  • Elimina las extensiones que cargan archivos de configuración remotos; cualquier cosa que obtenga config.php o theme.php de servidores desconocidos supone un riesgo.

  • Evite las extensiones que modifican el contenido web sin una justificación clara: la reescritura del DOM y el contenido remoto suponen un alto riesgo.

  • Es preferible trabajar con desarrolladores de gran reputación y conocidos; evite las extensiones "nuevas", "desconocidas" o con pocas reseñas.

  • Revisa la actividad de las extensiones utilizando las herramientas integradas de Chrome; busca conexiones de red inesperadas.

Para equipos de seguridad

  • Detectar artefactos comunes: marcar las extensiones que:

    • Obtener configuraciones de inyección remota
    • Utilice consultas que eviten el uso de caché con marca de tiempo
    • Definir reglas de inyección con selectores y patrones
    • Utilice MutationObservers agresivamente
    • Utilizar las API del depurador de Chrome innecesariamente

  • Realizar pruebas de comportamiento en un entorno aislado - Monitorear:

    • Cambios en el DOM
    • Llamadas salientes de red
    • Elementos modificados
      Momento de las extracciones de configuración remota

  • Bloquear dominios de activos maliciosos conocidos: supervisar los dominios relacionados con estas familias de extensiones.