Noticias, Privacy

Un programa malicioso roba las cookies Chrome para hacerse con el control de tus cuentas

por Pieter Arntz | 26 de junio de 2026
Robo de galletas
Añadir como fuente preferida en Google

Un archivo adjunto de un correo electrónico provoca la instalación de una Chrome maliciosa Chrome . Los investigadores afirman que forma parte de una Windows que se distribuye a través de un correo electrónico de phishing. El malware se aprovecha de la función Chrome Messaging» para trasladar el control del navegador al sistema anfitrión. Su truco más destacado no es el propio señuelo de phishing, sino la forma en que utiliza Windows legítimas del navegador y Windows para ejecutar PowerShell y recopilar datos sin salirse de los flujos de trabajo habituales.

El ataque comienza con un archivo adjunto de correo electrónico camuflado como un PDF. El archivo utiliza una extensión engañosa .pfd.js parece un documento PDF, pero en realidad es un archivo JavaScript ofuscado que coloca archivos adicionales en la carpeta temporal y pone en marcha el resto de la cadena de infección.

Como parte de ese proceso, un script de PowerShell prepara una Chrome y modifica la configuración Chrome para que la extensión pueda instalarse. El malware hace que la instalación parezca una implementación controlada por un administrador, en lugar de una instalación normal de una extensión.

Una vez activada, la extensión y su complemento nativo recopilan las cookies del navegador, las pestañas abiertas, las URL, la configuración de idioma y los datos de huella digital. Los operadores también utilizan la configuración como canal de comandos remotos, enviando instrucciones que pueden iniciar PowerShell y enumerar el contenido del C: conducir.

Con las cookies de sesión autenticadas sustraídas, los atacantes pueden secuestrar sesiones activas del navegador, en lugar de limitarse a robar contraseñas, lo cual les resulta más útil, ya que les permite acceder a cuentas en las que ya se ha iniciado sesión en el navegador de la víctima, eludiendo así la autenticación multifactorial (MFA).

El aspecto más interesante del ataque es el uso indebido que se hace de Chrome Messaging como puente entre el entorno aislado del navegador y el sistema operativo. Chrome las extensiones se comuniquen con un host nativo registrado, y los atacantes aprovecharon esa función legítima para convertir la extensión en un controlador que permitiera la ejecución de código local. La extensión no ejecuta PowerShell directamente. En su lugar, envía mensajes al host nativo, que a su vez ejecuta PowerShell o interactúa con él en el sistema host.

Cómo mantenerse seguro

La primera medida de protección contra este tipo de ataques es evitar abrir archivos adjuntos de correo electrónico a menos que puedas verificar la identidad del remitente. Además:

  • Comprueba siempre la extensión real del archivo en lugar de fiarte del nombre que aparece en pantalla.
  • Utiliza una solución antimalware actualizada y en tiempo real para detectar y bloquear actividades maliciosas.
  • Comprueba las Chrome instaladas en tu dispositivo y elimina aquellas que no reconozcas o que ya no utilices.
  • Para mayor precaución, cierra sesión en las cuentas importantes cuando hayas terminado. De este modo, se anula tu sesión, por lo que, aunque alguien te haya robado la cookie de sesión, no podrá utilizarla para acceder a tu cuenta.
  • Comprueba periódicamente el historial de inicio de sesión de tus cuentas importantes. Muchos servicios en línea te permiten ver qué dispositivos han iniciado sesión, cuándo y desde dónde.

COIs

Archivo adjunto:

Fattura-2819889242.pfd.js (se muestra como Fattura-26189991026.pdf)

Archivos maliciosos:

client_124578.exe
d3d11.dll

Chrome :

Nombre: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg

Dominio:

ext2[.]info

Esto está bloqueado por Malwarebytes Browser Guard, nuestra extensión gratuita para el navegador que bloquea anuncios, rastreadores, malware y mucho más.

Browser Guard ext2[.]info
Browser Guard ext2[.]info

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Bichos
PixelSmash

La vulnerabilidad «PixelSmash» convierte los archivos de vídeo en herramientas de ataque

Junio 24, 2026

Unos investigadores han descubierto un fallo crítico en FFmpeg que podría permitir a los atacantes utilizar un archivo de vídeo malicioso para comprometer sistemas vulnerables.

Producto
Un lobo con piel de cordero

Ten cuidado con las estafas de renovación que se hacen pasar por Malwarebytes

Junio 24, 2026

Los estafadores están enviando avisos falsos de renovación de software en los que afirman que se te ha cobrado una suscripción. Algunos incluso se hacen pasar por Malwarebytes.

Estafas
Un joven se sentó con la cabeza en una mano y sosteniendo un teléfono en la otra.

Total a todos tus dispositivos». Los estafadores especializados en sextorsión vuelven a la carga

Junio 24, 2026

Afirman que tienen vídeos, malware y control total sobre tus dispositivos. A continuación te explicamos cómo analizar un correo electrónico de sextorsión como un investigador de seguridad, en lugar de como una víctima.

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas