**Extensión de Chrome “QuickLens” comprometida: robo de criptomonedas y distribución de malware a miles de usuarios**
—
### 1. Introducción
La seguridad en los navegadores web vuelve a estar en entredicho tras el reciente compromiso de la extensión de Chrome «QuickLens – Search Screen with Google Lens». Esta extensión, que inicialmente ofrecía funciones legítimas para búsquedas visuales, fue retirada del Chrome Web Store después de que se detectara su utilización como vector para la distribución de malware y el robo de criptomonedas. El incidente subraya la creciente sofisticación de las amenazas dirigidas al ecosistema de extensiones de navegador y la necesidad de extremar las medidas de control y respuesta por parte de los equipos de ciberseguridad.
—
### 2. Contexto del Incidente
«QuickLens – Search Screen with Google Lens» acumulaba miles de usuarios desde su publicación, gozando de popularidad por la integración con Google Lens para búsquedas en pantalla. Sin embargo, a mediados de 2024, múltiples informes y análisis de telemetría comenzaron a señalar comportamientos anómalos en la extensión. Poco después, Google procedió a su retirada tras confirmarse su implicación en actividades maliciosas.
El caso de QuickLens no es aislado y se enmarca en una tendencia al alza de secuestro de extensiones legítimas para su explotación con fines delictivos, ya sea mediante la compra del software al desarrollador original o a través de la suplantación y actualización maliciosa (“extension hijacking”).
—
### 3. Detalles Técnicos
#### Identificadores y explotación
La extensión comprometida no contaba con asignación de CVE propia en el momento de publicarse la información. No obstante, los análisis de seguridad identificaron que la actualización maliciosa incorporó código JavaScript ofuscado, diseñado para inyectarse en todas las páginas web visitadas por el usuario.
– **Vectores de ataque**: El vector principal fue la actualización automática de la extensión, que permitió la ejecución de payloads sin intervención del usuario.
– **TTPs (MITRE ATT&CK)**:
– T1059 (Command and Scripting Interpreter)
– T1086 (PowerShell)
– T1176 (Browser Extensions)
– **Indicadores de compromiso (IoC)**:
– Hashes de archivos .js maliciosos detectados en sistemas afectados.
– Dominios C2 utilizados para exfiltrar datos y recibir instrucciones, como `api.quicklens-mgr[.]xyz` y `wallet-update[.]pro`.
– Actividad inusual en wallets de criptomonedas asociadas a extensiones de navegador.
#### Funcionalidad maliciosa
El código inyectado monitorizaba la actividad de los usuarios en páginas de intercambio de criptomonedas (Coinbase, Binance, Metamask, etc.), interceptando credenciales, claves privadas y manipulando transacciones para redirigir fondos a wallets controladas por los atacantes. Se detectó la utilización de frameworks como Metasploit para pruebas de explotación y Cobalt Strike para el establecimiento de canales de comunicación persistentes.
—
### 4. Impacto y Riesgos
Se estima que la extensión comprometida afectó a entre 30.000 y 40.000 usuarios antes de ser eliminada de la tienda de Chrome. Según datos preliminares, se han producido robos de activos digitales por valor superior a 500.000 dólares, aunque la cifra podría aumentar a medida que avancen las investigaciones.
Los riesgos principales incluyen:
– Exposición de credenciales y claves privadas de wallets.
– Robo de fondos en múltiples criptomonedas.
– Persistencia de puertas traseras en los sistemas afectados.
– Potencial uso de los dispositivos como parte de botnets o para ataques adicionales.
—
### 5. Medidas de Mitigación y Recomendaciones
Para los equipos SOC y responsables de seguridad, se recomienda:
– **Revisión inmediata de extensiones instaladas** y eliminación de QuickLens si permanece activa.
– **Análisis forense** de endpoints para detectar IoC mencionados.
– Monitorización de logs de acceso a wallets y actividad anómala en sistemas de intercambio.
– Implementar restricciones en la instalación de extensiones mediante políticas de grupo (GPO) o MDM.
– Fomentar el uso de navegadores en modo aislado (“sandboxing”) para operaciones sensibles.
Google ha reforzado los procesos de revisión y detección de anomalías en su Chrome Web Store, pero la responsabilidad última de protección recae en la combinación de controles técnicos y buenas prácticas de los usuarios y administradores.
—
### 6. Opinión de Expertos
Analistas de Threat Intelligence, como los del equipo de Kaspersky y Recorded Future, han destacado que el abuso de extensiones de navegador es uno de los vectores más rentables y menos detectados actualmente. Como señala Miguel Ángel Gómez, CISO de una entidad financiera española: “Las extensiones son, a menudo, el eslabón débil, ya que el usuario confía en la plataforma y no dispone de mecanismos de análisis profundo. La integración de controles Zero Trust en el puesto de trabajo es prioritaria”.
—
### 7. Implicaciones para Empresas y Usuarios
Para empresas sujetas a normativas como GDPR o la inminente NIS2, la explotación de extensiones puede suponer una brecha de datos con consecuencias legales y económicas graves. La gestión centralizada de navegadores y la formación continua de empleados son esenciales para reducir la superficie de ataque.
En el caso de usuarios individuales, la recomendación es clara: limitar al máximo el número de extensiones instaladas, desactivar las que no sean imprescindibles y revisar periódicamente su comportamiento. Se aconseja el uso de gestores de contraseñas y la autenticación multifactor para el acceso a servicios críticos.
—
### 8. Conclusiones
El compromiso de QuickLens es un recordatorio de la importancia de la seguridad en el ecosistema de extensiones de navegador. La combinación de ingeniería social, explotación técnica y un mercado de criptomonedas en auge convierte a estas amenazas en un problema estratégico para cualquier organización. Una política de defensa en profundidad, junto con la vigilancia activa sobre los componentes añadidos al navegador, constituye la mejor defensa ante este tipo de incidentes.
(Fuente: www.bleepingcomputer.com)