Investigadores de DomainTools han localizado más de un centenar de sitios web falsos que, desde febrero de 2024, distribuyen extensiones de Chrome aparentemente legítimas (IA generativa, VPN, analítica web, criptomonedas…) pero capaces de espiar y tomar control del navegador.
A primera vista las extensiones cumplen, al menos parcialmente, lo prometido, pero en segundo plano contactan con servidores del atacante para enviar información del sistema, recibir instrucciones y ejecutar código arbitrario. Para evadir la revisión de la Chrome Web Store, abusan de permisos excesivos (declarativeNetRequest, cookies, tabs, scripting) y aplican reglas dinámicas tras su instalación.
Todas comparten una infraestructura coherente: dominios registrados en NameSilo y servidos vía Cloudflare que actúan como señuelo y como API. El código malicioso está ofuscado en background.js, allí se “cose” un único dominio de mando y se utiliza un token JWT firmado con HMAC-SHA256, la propia ID de la extensión como clave secreta, para autenticar la sesión. El payload se codifica en Base64 y se entrega por WebSocket.
Para ejecutar JavaScript externo dentro de la página visitada, varias muestras emplean un truco poco común: crean un elemento DOM temporal y disparan el evento onreset, lo que les permite saltarse la Content Security Policy.
Entre los ejemplos analizados destacan Manus AI, FortiVPN Client y SiteStats. Todos ellos filtran cookies completas, inyectan anuncios o redirigen tráfico y pueden convertir el navegador en un proxy inverso controlado por el atacante. Pese a que Google ha retirado algunas variantes, la campaña sigue activa y evoluciona rápidamente.
Recomendaciones, instalar extensiones solo de desarrolladores verificados, revisar los permisos solicitados, leer opiniones, mantener navegador y antivirus actualizados y eliminar complementos innecesarios. Un chequeo periódico de las extensiones instaladas es la mejor defensa.
Más información:
- Hidden Threats of Dual-Function Malware Found in Chrome Extensions https://dti.domaintools.com/dual-function-malware-chrome-extensions/
- Lista de IOCs y dominios relacionados en GitHub https://github.com/DomainTools/SecuritySnacks/blob/main/2025/DualFunction-Malware-Chrome-Extensions
La entrada Extensiones Chrome con doble funcionalidad: útiles en apariencia, malware en secreto se publicó primero en Una Al Día.