Red de 152 extensiones de Chrome distribuye software no deseado a través de fondos de pantalla

Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una sofisticada campaña de distribución de programas potencialmente no deseados (PUP) a través de extensiones de Google Chrome, camufladas como complementos de fondos de pantalla para la nueva pestaña. Esta red, compuesta por 152 extensiones distintas, ha conseguido infiltrarse en entornos corporativos y domésticos, alcanzando más de 105.000 instalaciones en todo el mundo y aprovechando la confianza de los usuarios en la Chrome Web Store. El análisis revela una operativa distribuida entre diversos editores y respaldada por tres dominios principales, lo que evidencia una estructura organizada y bien financiada.

Contexto del Incidente

El incidente ha sido catalogado como una amenaza emergente dentro del ecosistema de navegadores web, especialmente en el contexto de la proliferación de extensiones maliciosas en marketplaces oficiales. Las extensiones en cuestión se presentan bajo la apariencia inofensiva de «nuevas pestañas con fondos animados o temáticos», explotando la popularidad de la personalización del navegador. Sin embargo, tras la instalación, ejecutan comportamientos asociados a PUPs: modificación de la configuración del navegador, redirección de tráfico, inserción de anuncios no autorizados y recopilación de datos de navegación.

Los operadores han diversificado la campaña a través de 38 cuentas de editores en la Chrome Web Store, vinculadas a tres marcas principales: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. Esta descentralización complica la detección y la erradicación, permitiendo la supervivencia de la campaña incluso cuando Google elimina algunas extensiones individuales.

Detalles Técnicos

Aunque las extensiones aún no han sido asociadas a un CVE específico, su comportamiento encaja en los TTPs (Tactics, Techniques and Procedures) documentados en MITRE ATT&CK bajo la técnica T1204 (User Execution: Malicious File), combinada con T1086 (PowerShell) en versiones que descargan componentes adicionales. La instalación inicial no levanta sospechas: el usuario concede permisos para cambiar la página de nueva pestaña y, en ocasiones, para leer el historial de navegación.

Una vez activas, muchas extensiones se comunican con uno de los tres dominios backend, recibiendo instrucciones y actualizaciones de configuración. El análisis de tráfico revela uso de HTTPs y, en ocasiones, cifrado personalizado para evadir la inspección de contenido. Los indicadores de compromiso (IoC) incluyen conexiones periódicas a subdominios de tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com, así como cambios en las políticas de Chrome (chrome://policy) y la aparición de procesos desconocidos en el sandbox del navegador.

Algunos ejemplares han sido detectados utilizando frameworks como Metasploit para entregar payloads adicionales, aunque la mayoría se limita a la manipulación publicitaria y recopilación de datos. No obstante, la modularidad observada sugiere que la infraestructura podría emplearse para campañas más agresivas en el futuro.

Impacto y Riesgos

El principal riesgo reside en la manipulación de la experiencia de navegación y la exposición de información sensible a actores externos. Los PUP distribuidos a través de estas extensiones pueden capturar credenciales, monitorizar hábitos de navegación, y redirigir a sitios de phishing o descargas de malware más peligrosas. Dada la naturaleza persistente de las extensiones y su integración con el perfil del usuario, la remediación puede requerir la intervención manual o el uso de herramientas especializadas.

A nivel corporativo, la propagación masiva —más de 105.000 instalaciones confirmadas— incrementa el riesgo de fugas de datos y cumplimiento normativo, especialmente en sectores sujetos a GDPR, NIS2 y regulaciones específicas de privacidad. Las empresas con políticas laxas de BYOD (Bring Your Own Device) o sin sistemas de gestión centralizada de extensiones están particularmente expuestas.

Medidas de Mitigación y Recomendaciones

Para minimizar la exposición, se recomienda a los responsables de seguridad y administradores de sistemas:

– Realizar auditorías periódicas de las extensiones instaladas en los navegadores corporativos.
– Restringir la instalación de extensiones a través de políticas de grupo (GPO) o Google Workspace.
– Monitorizar el tráfico de red en busca de conexiones a los dominios tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com.
– Implementar soluciones EDR que incluyan análisis de comportamiento en navegadores.
– Formar a los usuarios en la detección de extensiones sospechosas y fomentar la notificación de anomalías.
– Revisar y revocar permisos excesivos concedidos a extensiones instaladas.

Opinión de Expertos

Especialistas en ciberseguridad advierten que este tipo de campañas, aunque centradas en PUPs, suponen una puerta de entrada a amenazas más severas. «La modularidad y la capacidad de actualización remota de estas extensiones permiten a los operadores pivotar hacia actividades de malware, robo de credenciales o incluso ransomware en cuestión de horas», señala un analista de amenazas de Malwarebytes. Además, la utilización de múltiples cuentas y dominios indica un esfuerzo deliberado para evadir la detección automatizada de Google, evidenciando la necesidad de una respuesta más proactiva por parte de los proveedores de navegadores.

Implicaciones para Empresas y Usuarios

La existencia de esta red de extensiones maliciosas pone de manifiesto la necesidad de endurecer los controles sobre los complementos de navegador en entornos empresariales y educativos. La tendencia a utilizar extensiones de terceros para personalización debe ser reevaluada, priorizando únicamente aquellas auditadas y necesarias para la operativa diaria. El incidente también plantea cuestiones legales en relación al cumplimiento de GDPR: la recopilación y transferencia de datos fuera del espacio económico europeo puede conllevar sanciones significativas.

Conclusiones

La campaña de distribución de PUPs a través de 152 extensiones de Chrome evidencia la sofisticación y persistencia de los actores de amenazas en el ecosistema de navegadores. La descentralización, modularidad y uso de infraestructuras distribuidas refuerzan la necesidad de una vigilancia continua y políticas restrictivas en la gestión de extensiones. Solo mediante una combinación de tecnología, formación y procesos robustos podrán las organizaciones minimizar el impacto de estas amenazas emergentes.

(Fuente: feeds.feedburner.com)