Un equipo de investigadores de ciberseguridad de Koi Security ha identificado una campaña de malware coordinada que involucra 18 extensiones de navegador disponibles para descargar en Google Chrome y Microsoft Edge. Estas extensiones se disfrazan como herramientas de productividad y entretenimiento —como teclados de emojis, controladores de velocidad de video, VPNs para Discord y TikTok, temas oscuros y potenciadores de volumen—, pero en realidad implementan funciones de vigilancia del navegador y secuestro de tráfico.

Hasta la fecha, más de 2.3 millones de usuarios han sido afectados por estas extensiones.

Verificadas, destacadas… y peligrosas

A pesar de su comportamiento malicioso, muchas de estas extensiones fueron verificadas por Google y Microsoft o incluso promocionadas en sus tiendas oficiales, lo que generó una falsa sensación de confianza entre los usuarios.

Aunque cada extensión operaba con su propio subdominio de comando y control (C2), lo que sugería operadores distintos, los investigadores descubrieron que todas pertenecen a una misma infraestructura centralizada de ataque, denominada RedDirection.

De herramientas útiles a vectores de malware

La primera extensión detectada por Koi Security fue Color Picker, Eyedropper — Geco colorpick, una supuesta herramienta inofensiva con más de 100,000 instalaciones y cientos de reseñas positivas. Aunque al principio cumplía con su función legítima, versiones posteriores incluyeron un backdoor malicioso que permitía a los atacantes rastrear todas las páginas visitadas por el usuario.

Este patrón se repitió con otras extensiones: fueron lanzadas como versiones limpias para evadir los filtros de seguridad, y después actualizadas con malware, incluso años después de su publicación original. Todo esto ocurría sin intervención del usuario.

¿Qué puede hacer el malware?

El código malicioso incluido en estas extensiones permite a los atacantes:

• Capturar las URLs de los sitios web visitados
• Enviar esta información a servidores remotos junto con identificadores de usuario
• Recibir URLs de redirección desde los servidores C2
• Redirigir automáticamente al usuario si así se ordena

Esta campaña demuestra cómo los atacantes sofisticados explotan señales de confianza —como los sellos de verificación y el posicionamiento destacado— para propagar amenazas a gran escala.

¿Qué deben hacer los usuarios?

Si usas Chrome o Edge y crees que podrías tener alguna de estas extensiones instaladas:

• Desinstálala inmediatamente
• Limpia los datos de tu navegador, incluyendo cookies y caché
• Ejecuta un análisis de malware completo en tu equipo
• Monitorea tus cuentas más sensibles en busca de actividad inusual, especialmente si accediste a sitios financieros, gubernamentales o corporativos

El equipo de Koi Security ya notificó sus hallazgos a Google y Microsoft, pero hasta el momento ninguna de las dos compañías ha emitido una respuesta pública.

En Nubetia, protegemos a empresas y usuarios ante amenazas digitales avanzadas. ¿Quieres saber si tus extensiones son seguras? Contáctanos.

Source: https://www.infosecurity-magazine.com/news/18-malicious-chrome-edge-extensions/