Investigadores de ciberseguridad han descubierto una extensión maliciosa de Google Chrome diseñada para robar datos asociados con Meta Business Suite y Facebook Business Manager.
La extensión, denominada CL Suite por @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), se comercializa como una forma de extraer datos de Meta Business Suite, eliminar ventanas emergentes de verificación y generar códigos de autenticación de dos factores (2FA). La extensión tiene 33 usuarios al momento de escribir este artículo. Se subió por primera vez a Chrome Web Store el 1 de marzo de 2025.
Sin embargo, el complemento del navegador también filtra códigos TOTP para cuentas de Facebook y Meta Business, listas de contactos de Business Manager y datos analíticos a la infraestructura controlada por el actor de amenazas, dijo Socket.
«La extensión solicita un amplio acceso a meta.com y facebook.com y afirma en su política de privacidad que los secretos 2FA y los datos del Business Manager siguen siendo locales», dijo el investigador de seguridad Kirill Boychenko.
«En la práctica, el código transmite semillas TOTP y códigos de seguridad únicos actuales, exportaciones CSV de Meta Business ‘People’ y datos analíticos de Business Manager a un backend en getauth(.)pro, con una opción para reenviar las mismas cargas útiles a un canal de Telegram controlado por el actor de la amenaza».
Al apuntar a los usuarios de Meta Business Suite y Facebook Business Manager, el actor de amenazas detrás de la operación ha aprovechado la extensión para realizar la recopilación y exfiltración de datos sin el conocimiento o consentimiento de los usuarios.
Si bien la extensión no tiene capacidades para robar información relacionada con contraseñas, el atacante podría obtener dicha información de antemano de otras fuentes, como registros de robo de información o volcados de credenciales, y luego usar los códigos robados para obtener acceso no autorizado a las cuentas de las víctimas.
El alcance completo de las capacidades del complemento malicioso se enumera a continuación:
- Robar semilla TOTP (un código alfanumérico único que se utiliza para generar contraseñas de un solo uso basadas en el tiempo) y código 2FA
- Diríjase a la vista «Personas» de Business Manager navegando a Facebook(.)com y meta(.)com y cree un archivo CSV con nombres, direcciones de correo electrónico, funciones y permisos, y su estado y detalles de acceso.
- Enumere las entidades a nivel de Business Manager y sus activos vinculados y cree un archivo CSV de ID y nombres de Business Manager, cuentas publicitarias adjuntas, páginas y activos conectados, y detalles de configuración de facturación y pago.
Socket advirtió que a pesar del bajo número de instalaciones, la extensión brinda al actor de amenazas suficiente información para identificar objetivos de alto valor y montar ataques de seguimiento.
«CL Suite de @CLMasters muestra cómo una extensión de navegador estrecha puede reempaquetar la extracción de datos como una ‘herramienta’ para Meta Business Suite y Facebook Business Manager», dijo Boychenko.
«Su extracción de personas, análisis de Business Manager, supresión de ventanas emergentes y generación de 2FA en el navegador no son características de productividad neutrales, son raspadores especialmente diseñados para metasuperficies de alto valor que recopilan listas de contactos, acceden a metadatos y material de 2FA directamente desde páginas autenticadas».
Las extensiones de Chrome secuestran cuentas de VKontakte
La divulgación se produce cuando Koi Security descubrió que alrededor de 500.000 usuarios de VKontakte habían tenido sus cuentas secuestradas silenciosamente a través de extensiones de Chrome disfrazadas de herramientas de personalización de VK. La campaña a gran escala ha recibido el nombre en clave Estilos VK.
El malware integrado en las extensiones está diseñado para participar en la manipulación activa de cuentas suscribiendo automáticamente a los usuarios a los grupos VK del atacante, restableciendo la configuración de la cuenta cada 30 días para anular las preferencias del usuario, manipulando tokens de falsificación de solicitudes entre sitios (CSRF) para eludir las protecciones de seguridad de VK y manteniendo un control persistente.
La actividad se ha rastreado hasta un actor de amenazas que opera bajo el nombre de usuario de GitHub 2vk, que ha confiado en la propia red social de VK para distribuir cargas maliciosas y construir una base de seguidores a través de suscripciones forzadas. Los nombres de las extensiones se enumeran a continuación:
- VK Styles – Temas para vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
- VK Music – protector de audio (ID: mflibpdjoodmoppignjhciadahapkoch)
- Descargador de música – VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
- vksaver – protector de música vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
- VKfeed – Descargar música y videos desde VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
Uno de los rasgos definitorios de la campaña es el uso de etiquetas de metadatos HTML de un perfil VK («vk(.)com/m0nda») como un sistema de resolución muerta para ocultar las URL de carga útil de la siguiente etapa y, por lo tanto, evadir la detección. La carga útil de la siguiente etapa está alojada en un repositorio público llamado «-» que está asociado con 2vk. En la carga útil está presente JavaScript ofuscado que se inyecta en cada página VK que visita la víctima.
El repositorio todavía es accesible al momento de escribir este artículo, y el archivo, llamado simplemente «C», recibió un total de 17 confirmaciones entre junio de 2025 y enero de 2026, a medida que el operador perfeccionó y agregó nuevas funciones.
«Cada compromiso muestra un refinamiento deliberado», dijo el investigador de seguridad Ariel Cohen. «Esto no es un malware descuidado: es un proyecto de software mantenido con control de versiones, pruebas y mejoras iterativas».
VK Styles ha afectado principalmente a los usuarios de habla rusa, que son el principal grupo demográfico de VK, así como a los usuarios de Europa del Este, Asia Central y las comunidades de la diáspora rusa en todo el mundo. Se considera que la campaña está activa desde al menos el 22 de junio de 2025, cuando la versión inicial de la carga útil se envió al repositorio «-«.
Las extensiones falsas de IA de Chrome roban credenciales y correos electrónicos
Los hallazgos también coinciden con el descubrimiento de otra campaña coordinada denominada Marco Aidonde un grupo de 32 complementos de navegador anunciados como asistentes de inteligencia artificial (IA) para resúmenes, chat, escritura y asistencia de Gmail se utilizan para desviar datos confidenciales. Estas extensiones han sido instaladas colectivamente por más de 260.000 usuarios.
«Si bien estas herramientas parecen legítimas en la superficie, ocultan una arquitectura peligrosa: en lugar de implementar la funcionalidad central localmente, incorporan interfaces remotas controladas por el servidor dentro de superficies controladas por extensiones y actúan como servidores proxy privilegiados, otorgando acceso remoto a la infraestructura a capacidades sensibles del navegador», dijo la investigadora de LayerX Natalie Zargarov.
Los nombres de las extensiones maliciosas son los siguientes:
- Asistente de IA (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
- Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
- Barra lateral de Gemini AI (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
- Barra lateral de IA (ID: djhjckkfgancelbmgcamjimgphaphjdl)
- Barra lateral de ChatGPT (ID: llojfncgbabajmdglnkbhmiebiinohek)
- Barra lateral de IA (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
- Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
- Preguntando a Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
- ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
- Bot de chat GPT (ID: nkgbfengofophpmonladgaldioelckbe)
- Chatbot Grok (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
- Chatea con Géminis (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
- XAI (ID: baonbjckakcpgliaafcodddcoednpjgf)
- Google Géminis (ID: fdlagfnfaheppaigholhoojabfaapnhb)
- Pregúntale a Géminis (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
- Generador de letras AI (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
- Generador de mensajes AI (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
- Traductor AI (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
- AI para traducción (ID: bilfflcophfehljhpnklmcelkoiffapb)
- Generador de cartas de presentación de IA (ID: cicjlpmjmimeoempffghfglndokjihhn)
- Generador de imágenes AI Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
- Generador de fondos de pantalla Ai (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
- Generador de imágenes Ai (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
- Descarga de DeepSeek (ID: kepibgehhljlecgaeihhnmibnmikbnga)
- Escritor de correo electrónico con IA (ID: ckicoadchmmndbakbokhapncehanaeni)
- Generador de correo electrónico AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
- Chat DeepSeek (ID: gohgeedemmaohocbaccllpkabadoogpl)
- Generador de imágenes ChatGPT (ID: flnecpdpbhdblkpnegekobahlijbmfok)
- Traductor ChatGPT (ID: acaeafediijmccnjlokgcdiojiljfpbe)
- AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
- Traducción ChatGPT (ID: idhknpoceajhnjokpnbicildeoligdgh)
- Chat GPT para Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)
Una vez instaladas, estas extensiones muestran una superposición de iframe de pantalla completa que apunta a un dominio remoto («claude.tapnetic(.)pro»), lo que permite a los atacantes introducir nuevas capacidades de forma remota sin necesidad de una actualización de Chrome Web Store. Cuando el iframe lo indica, los complementos consultan la pestaña activa del navegador e invocan un script de contenido para extraer el contenido legible del artículo utilizando la biblioteca Readability de Mozilla.
El malware también admite la capacidad de iniciar el reconocimiento de voz y filtrar la transcripción resultante a la página remota. Es más, un conjunto más pequeño de extensiones contiene funcionalidad para apuntar específicamente a Gmail leyendo contenido de correo electrónico visible directamente desde el modelo de objetos de documento (DOM) cuando una víctima visita mail.google(.)com.
«Cuando se invocan funciones relacionadas con Gmail, como respuestas o resúmenes asistidos por IA, el contenido del correo electrónico extraído se pasa a la lógica de la extensión y se transmite a la infraestructura backend de terceros controlada por el operador de la extensión», dijo LayerX. «Como resultado, el texto de los mensajes de correo electrónico y los datos contextuales relacionados pueden enviarse fuera del dispositivo, fuera de los límites de seguridad de Gmail, a servidores remotos».
287 Extensiones de Chrome Exfiltrar el historial de navegación
Los acontecimientos muestran cómo los malos actores abusan cada vez más de las extensiones de los navegadores web para recopilar y exfiltrar datos confidenciales haciéndolos pasar por herramientas y utilidades aparentemente legítimas.
Un informe publicado por Q Continuum la semana pasada encontró una enorme colección de 287 extensiones de Chrome que filtran el historial de navegación a intermediarios de datos. Estas extensiones tienen 37,4 millones de instalaciones, lo que representa aproximadamente el 1% de la base global de usuarios de Chrome.
«En el pasado se demostró que las extensiones de Chrome se utilizan para filtrar el historial del navegador del usuario, que luego es recopilado por intermediarios de datos como Similarweb y Alexa», dijo el investigador.
Dados los riesgos involucrados, se recomienda a los usuarios adoptar un enfoque minimalista instalando únicamente las herramientas necesarias y bien revisadas de las tiendas oficiales. También es esencial auditar periódicamente las extensiones instaladas para detectar cualquier signo de comportamiento malicioso o solicitudes de permiso excesivas.
Otras formas en que los usuarios y las organizaciones pueden garantizar una mayor seguridad incluyen el uso de perfiles de navegador separados para tareas confidenciales y la implementación de listas de extensiones permitidas para bloquear aquellas que sean maliciosas o no cumplan.