Yakarta, CNN Indonesia —
Investigadores de ciberseguridad de LayerX encontraron 17 extensiones maliciosas en el navegador cromoFirefox y Edge. Esta extensión puede monitorear la actividad del usuario en Internet e incluso instalar una puerta trasera para robar el acceso.
Este hallazgo no es nada nuevo. LayerX afirma que se trata de una secuela de GhostPoster, una campaña descubierta por primera vez por Koi Security a mediados de diciembre de 2025.
PUBLICIDAD
Desplácese para continuar con el contenido
En ese momento, los investigadores descubrieron un grupo de diferentes extensiones con un total de 50.000 descargas. Esta extensión hace lo mismo: monitorea el comportamiento e instala puertas traseras.
Citado de TecnologíaRadaraquí hay una lista completa de todas las extensiones encontradas:
– Traductor de Google haciendo clic derecho
– Traducir el texto seleccionado con GoogleAds Block Ultimate
– Reproductor flotante – Modo PiP
– Convertir cualquier cosa
-Descarga de youtube
– Traducción de una tecla
– Bloqueador de anuncios
– Guarde la imagen en Pinterest haciendo clic derecho
– Descargador de Instagram
– canales RSS
– Cursores geniales
– Capturas de pantalla de página completa
– Historial de precios de Amazon
– Potenciador del color
– Traducir el texto seleccionado con clic derecho
– Recortador de captura de pantalla de página
Este nuevo lote incluye varias expansiones que se cargaron por primera vez en 2020. Esto significa que las personas han estado expuestas a malware en los repositorios oficiales de los navegadores durante años.
Edge parece ser donde aparecieron por primera vez la mayoría de estas extensiones y luego se extendieron también a Chrome y Firefox.
Algunas extensiones almacenan código JavaScript malicioso en logotipos PNG. El código sirve como guía para descargar la carga útil principal desde el servidor remoto.
Para dificultar la detección y la atribución, el atacante solo permitió que la extensión descargara la carga principal el 10 por ciento del tiempo.
La carga útil principal puede hacer varias cosas. Lo más importante es que se infiltra en enlaces de afiliados en los principales sitios web de comercio electrónico y roba dinero directamente de los creadores de contenido.
Luego inyecta el seguimiento de Google Analytics en cada página que visita el usuario y elimina los encabezados de seguridad de todas las respuestas HTTP.
Finalmente, puede eludir los CAPTCHA utilizando tres mecanismos separados. También se pueden insertar iframes invisibles, que se utilizan habitualmente para fraude publicitario, fraude de clics y seguimiento.
Los iframes se autodestruyen después de unos 15 segundos.
Además, todas las extensiones se han eliminado de sus respectivos repositorios de navegador, pero se recomienda a los usuarios que las eliminen de sus navegadores.
(lom/fea)
(Gambas: vídeo de CNN)
About The Author
