Los investigadores han encontrado otra familia de extensiones maliciosas en la Chrome Store. En esta ocasión, se han detectado 30 Chrome diferentes Chrome que robaban credenciales de más de 260 000 usuarios.
Las extensiones mostraban un iframe a pantalla completa que apuntaba a un dominio remoto. Este iframe se superponía a la página web actual y aparecía visualmente como la interfaz de la extensión. Dado que esta funcionalidad se alojaba de forma remota, no se incluyó en la revisión que permitió la entrada de las extensiones en la Web Store.
En otros hallazgos recientes, informamos sobre extensiones que espiaban los chats de ChatGPT, extensiones latentes que supervisaban la actividad del navegador y una extensión falsa que provocaba deliberadamente un fallo del navegador.
Para dispersar el riesgo de detección y eliminación, los atacantes utilizaron una técnica conocida como «extensión spraying». Esto significa que utilizaron diferentes nombres e identificadores únicos para lo que era básicamente la misma extensión.
Lo que suele ocurrir es que los investigadores proporcionan una lista de nombres e identificadores de extensiones, y son los usuarios quienes deben averiguar si tienen alguna de estas extensiones instalada.
Buscar por nombre es fácil cuando abres la pestaña «Administrar extensiones», pero, lamentablemente, los nombres de las extensiones no son únicos. Por ejemplo, podrías tener instalada la extensión legítima que un delincuente intentó suplantar.
Búsqueda por identificador único
En Chrome Edge, el ID de una extensión del navegador es una cadena única de 32 caracteres en minúsculas que permanece igual aunque se cambie el nombre de la extensión o se vuelva a enviar.
Cuando analizamos las extensiones desde el punto de vista de la eliminación, hay dos tipos: las instaladas por el usuario y las instaladas de forma forzada por otros medios (administrador de red, malware, objeto de política de grupo (GPO), etc.).
En esta guía solo nos centraremos en el primer tipo: las que los usuarios han instalado ellos mismos desde la Web Store. La guía que se muestra a continuación está dirigida a Chrome, pero es prácticamente igual para Edge.
Cómo encontrar las extensiones instaladas
Puedes revisar las Chrome instaladas de la siguiente manera:
- En la barra de direcciones, escriba
chrome://extensions/. - Esto abrirá la pestaña Extensiones y le mostrará las extensiones instaladas por nombre.
- Ahora activa el modo Desarrollador y también verás su ID único.
Método de eliminación en el navegador
Utilice el botón Eliminar para eliminar cualquier entrada no deseada.
Si desaparece y sigue sin aparecer después de reiniciar, ya está. Si no hay ningún botón Eliminar o Chrome está «Instalado por el administrador», o si la extensión vuelve a aparecer después de reiniciar, hay una política, una entrada en el registro o un malware que la está forzando.
Alternativa
También puedes buscar en la carpeta Extensiones. En Windows , esta carpeta se encuentra aquí: C:\Users\<your‑username>\AppData\Local\Google\Chrome\User Data\Default\Extensions.
Tenga en cuenta que la carpeta AppData está oculta de forma predeterminada. Para mostrar los archivos y carpetas ocultos en Windows, abra el Explorador, haga clic en la pestañaVer(o en el menú) y marque la casillaElementos ocultos. Para acceder a opciones más avanzadas, seleccioneOpciones > Cambiar opciones de carpeta y búsqueda > pestaña Ver y, a continuación, seleccioneMostrar archivos, carpetas y unidades ocultos.
Puede ordenar la lista alfabéticamente haciendo clic una o dos veces en el encabezado de la columna Nombre . Esto facilita la búsqueda de extensiones si tiene muchas instaladas.
Eliminar la carpeta de extensiones aquí tiene un inconveniente. Deja una entrada huérfana en tu navegador. Cuando Chrome iniciar Chrome después de hacer esto, la extensión ya no se cargará porque sus archivos han desaparecido. Pero seguirá apareciendo en la pestaña Extensiones, solo que sin el icono correspondiente.
Por lo tanto, nuestro consejo es eliminar las extensiones del navegador siempre que sea posible.
Extensiones maliciosas
A continuación se muestra la lista de extensiones que roban credenciales utilizando el método iframe, según lo proporcionado por los investigadores.
| ID de extensión | Nombre de la extensión |
|---|---|
| acaeafediijmccnjlokgcdiojiljfpbe | Traducir ChatGPT |
| baonbjckakcpgliaafcodddkoednpjgf | XAI |
| bilfflcophfehljhpnklmcelkoiffapb | IA para la traducción |
| cicjlpmjmimeoempffghfglndokjihhn | Generador de cartas de presentación con IA |
| ckicoadchmmndbakbokhapncehanaeni | Redactor de correos electrónicos con IA |
| ckneindgfbjnbbiggcmnjeofelhflhaj | Generador de imágenes con IA Chat GPT |
| cmpmhhjahlioglkleiofbjodhhiejhei | Traductor de IA |
| dbclhjpifdfkofnmjfpheiondafpkoed | Generador de fondos de pantalla Ai |
| djhjckkfgancelbmgcamjimgphaphjdl | Barra lateral de IA |
| ebmmjmakencgmgoijdfnbailknaaiffh | Chatear con Géminis |
| ecikmpoikkcelnakpgaeplcjoickgacj | Generador de imágenes Ai |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini |
| flnecpdpbhdblkpnegekobahlijbmfok | Generador de imágenes ChatGPT |
| fnjinbdmidgjkpmlihcginjipjaoapol | Generador de correo electrónico con IA |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT para Gmail |
| fppbiomdkfbhgjjdmojlogeceejinadg | Barra lateral de Gemini AI |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Llama |
| gcdfailafdfjbailcdcbjmeginhncjkb | Chatbot Grok |
| gghdfkafnhfpaooiolhncejnlgglhkhe | Barra lateral de IA |
| gnaekhndaddbimfllbgmecjijbbfpabc | Pregunta a Géminis |
| gohgeedemmaohocbaccllpkabadoogpl | Chat DeepSeek |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | Generador de cartas con IA |
| idhknpoceajhnjokpnbicildeoligdgh | Traducción de ChatGPT |
| kblengdlefjpjkekanpoidgoghdngdgl | IA GPT |
| kepibgehhljlecgaeihhnmibnmikbnga | Descargar DeepSeek |
| lodlcpnbppgipaimgbjgniokjcnpiiad | Generador de mensajes con IA |
| llojfncgbabajmdglnkbhmiebiinohek | Barra lateral de ChatGPT |
| nkgbfengofophpmonladgaldioelckbe | Chat Bot GPT |
| nlhpidbjmmffhoogcennoiopekbiglbp | Asistente de IA |
| phiphcloddhmndjbdedgfbglhpkjcffh | Preguntar a Chat Gpt |
| pgfibniplgcnccdnkhblpmmlfodijppg | ChatGBT |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok |
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
