Investigadores de ciberseguridad han descubierto una extensión maliciosa de Google Chrome diseñada para robar datos asociados con Meta Business Suite y Facebook Business Manager.
La extensión, denominada CL Suite por @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), se comercializa como una forma de extraer datos de Meta Business Suite, eliminar ventanas emergentes de demostración y difundir códigos de autenticación de dos factores (2FA). La extensión tiene 33 usuarios al momento de escribir este artículo. Se subió por primera vez a Chrome Web Store el 1 de marzo de 2025.
Sin requisa, el complemento del navegador asimismo filtra códigos TOTP para cuentas de Facebook y Meta Business, listas de contactos de Business Manager y datos analíticos a la infraestructura controlada por el actor de amenazas, dijo Socket.
“La extensión solicita un amplio llegada a meta.com y facebook.com y afirma en su política de privacidad que los secretos 2FA y los datos del Business Manager siguen siendo locales”, dijo el investigador de seguridad Kirill Boychenko.
“En la ejercicio, el código transmite semillas TOTP y códigos de seguridad únicos actuales, exportaciones CSV de Meta Business ‘People’ y datos analíticos de Business Manager a un backend en getauth(.)pro, con una opción para reenviar las mismas cargas bártulos a un canal de Telegram controlado por el actor de la amenaza”.
Al apuntar a los usuarios de Meta Business Suite y Facebook Business Manager, el actor de amenazas detrás de la operación ha estudioso la extensión para realizar la compilación y exfiltración de datos sin el conocimiento o consentimiento de los usuarios.
Si proporcionadamente la extensión no tiene capacidades para robar información relacionada con contraseñas, el atacante podría obtener dicha información de antemano de otras fuentes, como registros de robo de información o volcados de credenciales, y luego usar los códigos robados para obtener llegada no competente a las cuentas de las víctimas.
El significación completo de las capacidades del complemento sagaz se enumera a continuación:
- Robar semilla TOTP (un código alfanumérico único que se utiliza para difundir contraseñas de un solo uso basadas en el tiempo) y código 2FA
- Diríjase a la panorámica “Personas” de Business Manager navegando a Facebook(.)com y meta(.)com y cree un archivo CSV con nombres, direcciones de correo electrónico, funciones y permisos, y su estado y detalles de llegada.
- Enumere las entidades a nivel de Business Manager y sus activos vinculados y cree un archivo CSV de ID y nombres de Business Manager, cuentas publicitarias adjuntas, páginas y activos conectados, y detalles de configuración de facturación y cuota.
Socket advirtió que a pesar del bajo número de instalaciones, la extensión brinda al actor de amenazas suficiente información para identificar objetivos de detención valía y costar ataques de seguimiento.
“CL Suite de @CLMasters muestra cómo una extensión de navegador estrecha puede reempaquetar la extirpación de datos como una ‘utensilio’ para Meta Business Suite y Facebook Business Manager”, dijo Boychenko.
“Su extirpación de personas, exploración de Business Manager, supresión de ventanas emergentes y coexistentes de 2FA en el navegador no son características de productividad neutrales, son raspadores especialmente diseñados para metasuperficies de detención valía que recopilan listas de contactos, acceden a metadatos y material de 2FA directamente desde páginas autenticadas”.
Las extensiones de Chrome secuestran cuentas de VKontakte
La divulgación se produce cuando Koi Security descubrió que rodeando de 500.000 usuarios de VKontakte habían tenido sus cuentas secuestradas silenciosamente a través de extensiones de Chrome disfrazadas de herramientas de personalización de VK. La campaña a gran escalera ha recibido el nombre en esencia Estilos VK.
El malware integrado en las extensiones está diseñado para participar en la manipulación activa de cuentas suscribiendo automáticamente a los usuarios a los grupos VK del atacante, restableciendo la configuración de la cuenta cada 30 días para anular las preferencias del sucesor, manipulando tokens de falsificación de solicitudes entre sitios (CSRF) para eludir las protecciones de seguridad de VK y manteniendo un control persistente.
La actividad se ha rastreado hasta un actor de amenazas que opera bajo el nombre de sucesor de GitHub 2vk, que ha confiado en la propia red social de VK para distribuir cargas maliciosas y construir una cojín de seguidores a través de suscripciones forzadas. Los nombres de las extensiones se enumeran a continuación:
- VK Styles – Temas para vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
- VK Music – protector de audio (ID: mflibpdjoodmoppignjhciadahapkoch)
- Descargador de música – VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
- vksaver – protector de música vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
- VKfeed – Descargar música y videos desde VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
Uno de los rasgos definitorios de la campaña es el uso de etiquetas de metadatos HTML de un perfil VK (“vk(.)com/m0nda”) como un sistema de resolución muerta para ocultar las URL de carga útil de la próximo etapa y, por lo tanto, sortear la detección. La carga útil de la próximo etapa está alojada en un repositorio divulgado llamado “-” que está asociado con 2vk. En la carga útil está presente JavaScript ofuscado que se inyecta en cada página VK que invitado la víctima.
El repositorio todavía es accesible al momento de escribir este artículo, y el archivo, llamado simplemente “C”, recibió un total de 17 confirmaciones entre junio de 2025 y enero de 2026, a medida que el cirujano perfeccionó y agregó nuevas funciones.
“Cada compromiso muestra un refinamiento deliberado”, dijo el investigador de seguridad Ariel Cohen. “Esto no es un malware descuidado: es un tesina de software mantenido con control de versiones, pruebas y mejoras iterativas”.
VK Styles ha afectado principalmente a los usuarios de acento rusa, que son el principal familia demográfico de VK, así como a los usuarios de Europa del Este, Asia Central y las comunidades de la diáspora rusa en todo el mundo. Se considera que la campaña está activa desde al menos el 22 de junio de 2025, cuando la interpretación auténtico de la carga útil se envió al repositorio “-“.
Las extensiones falsas de IA de Chrome roban credenciales y correos electrónicos
Los hallazgos asimismo coinciden con el descubrimiento de otra campaña coordinada denominada Ámbito Aidonde un familia de 32 complementos de navegador anunciados como asistentes de inteligencia químico (IA) para resúmenes, chat, escritura y presencia de Gmail se utilizan para desviar datos confidenciales. Estas extensiones han sido instaladas colectivamente por más de 260.000 usuarios.
“Si proporcionadamente estas herramientas parecen legítimas en la superficie, ocultan una edificio peligrosa: en extensión de implementar la funcionalidad central localmente, incorporan interfaces remotas controladas por el servidor internamente de superficies controladas por extensiones y actúan como servidores proxy privilegiados, otorgando llegada remoto a la infraestructura a capacidades sensibles del navegador”, dijo la investigadora de LayerX Natalie Zargarov.
Los nombres de las extensiones maliciosas son los siguientes:
- Asistente de IA (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
- Fogata (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
- Mostrador adyacente de Gemini AI (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
- Mostrador adyacente de IA (ID: djhjckkfgancelbmgcamjimgphaphjdl)
- Mostrador adyacente de ChatGPT (ID: llojfncgbabajmdglnkbhmiebiinohek)
- Mostrador adyacente de IA (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
- Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
- Preguntando a Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
- ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
- Bot de chat GPT (ID: nkgbfengofophpmonladgaldioelckbe)
- Chatbot Grok (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
- Chatea con Géminis (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
- XAI (ID: baonbjckakcpgliaafcodddcoednpjgf)
- Google Géminis (ID: fdlagfnfaheppaigholhoojabfaapnhb)
- Pregúntale a Géminis (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
- Padre de saber AI (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
- Padre de mensajes AI (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
- Traductor AI (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
- AI para traducción (ID: bilfflcophfehljhpnklmcelkoiffapb)
- Padre de cartas de presentación de IA (ID: cicjlpmjmimeoempffghfglndokjihhn)
- Padre de imágenes AI Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
- Padre de fondos de pantalla Ai (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
- Padre de imágenes Ai (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
- Descarga de DeepSeek (ID: kepibgehhljlecgaeihhnmibnmikbnga)
- Escritor de correo electrónico con IA (ID: ckicoadchmmndbakbokhapncehanaeni)
- Padre de correo electrónico AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
- Chat DeepSeek (ID: gohgeedemmaohocbaccllpkabadoogpl)
- Padre de imágenes ChatGPT (ID: flnecpdpbhdblkpnegekobahlijbmfok)
- Traductor ChatGPT (ID: acaeafediijmccnjlokgcdiojiljfpbe)
- AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
- Traducción ChatGPT (ID: idhknpoceajhnjokpnbicildeoligdgh)
- Chat GPT para Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)
Una vez instaladas, estas extensiones muestran una superposición de iframe de pantalla completa que apunta a un dominio remoto (“claude.tapnetic(.)pro”), lo que permite a los atacantes introducir nuevas capacidades de forma remota sin escazes de una puesta al día de Chrome Web Store. Cuando el iframe lo indica, los complementos consultan la pestaña activa del navegador e invocan un script de contenido para extraer el contenido claro del artículo utilizando la biblioteca Readability de Mozilla.
El malware asimismo admite la capacidad de iniciar el registro de voz y filtrar la transcripción resultante a la página remota. Es más, un conjunto más pequeño de extensiones contiene funcionalidad para apuntar específicamente a Gmail leyendo contenido de correo electrónico visible directamente desde el maniquí de objetos de documento (DOM) cuando una víctima invitado mail.google(.)com.
“Cuando se invocan funciones relacionadas con Gmail, como respuestas o resúmenes asistidos por IA, el contenido del correo electrónico extraído se pasa a la método de la extensión y se transmite a la infraestructura backend de terceros controlada por el cirujano de la extensión”, dijo LayerX. “Como resultado, el texto de los mensajes de correo electrónico y los datos contextuales relacionados pueden enviarse fuera del dispositivo, fuera de los límites de seguridad de Gmail, a servidores remotos”.
287 Extensiones de Chrome Exfiltrar el historial de navegación
Los acontecimientos muestran cómo los malos actores abusan cada vez más de las extensiones de los navegadores web para resumir y exfiltrar datos confidenciales haciéndolos sobrevenir por herramientas y utilidades aparentemente legítimas.
Un crónica publicado por Q Continuum la semana pasada encontró una enorme colección de 287 extensiones de Chrome que filtran el historial de navegación a intermediarios de datos. Estas extensiones tienen 37,4 millones de instalaciones, lo que representa aproximadamente el 1% de la cojín completo de usuarios de Chrome.
“En el pasado se demostró que las extensiones de Chrome se utilizan para filtrar el historial del navegador del sucesor, que luego es recopilado por intermediarios de datos como Similarweb y Alexa”, dijo el investigador.
Dados los riesgos involucrados, se recomienda a los usuarios adoptar un enfoque minimalista instalando solamente las herramientas necesarias y proporcionadamente revisadas de las tiendas oficiales. Igualmente es esencial auditar periódicamente las extensiones instaladas para detectar cualquier signo de comportamiento sagaz o solicitudes de permiso excesivas.
Otras formas en que los usuarios y las organizaciones pueden avalar una decano seguridad incluyen el uso de perfiles de navegador separados para tareas confidenciales y la implementación de listas de extensiones permitidas para incomunicar aquellas que sean maliciosas o no cumplan.
