- Tal cual, expertos en ciberseguridad detectaron una extensión maliciosa en Chrome que simula ser una herramienta de seguridad. Esta extensión maaliciosa roba datos bancarios y puede introducir datos de cuentas y billeteras virtuales controladas por cibercriminales, posibilitando el desvío de fondos
LATAM, 23 de octubre de 2025.– Especialistas en ciberseguridad, identificaron un código malicioso que afecta a los sistemas operativos Windows y se hace pasar por una extensión de seguridad para Google Chrome. Este código, que específicamente es un malware, puede ser detectado por soluciones de ciberseguridad, ya que se trata de un infostealer con capacidades de robar información sensible.
Este malware se propaga en la región, principalmente por México, mediante archivos adjuntos comprimidos en correos electrónicos que aparentan ser de instituciones financieras reconocidas. En su código se observan palabras, nombres de variables y reemplazos en portugués, lo que evidencia que este tipo de amenazas trascienden fronteras.
Esta amenaza tiene la capacidad de modificarse visualmente dificultando la detección, al momento que el usuario se encuentre en una página financiera -hallando patrones comunes en este tipo de sitios- y cuando lo hace, puede modificar el DOM (Document Object Model) cambiando cómo se ve y funciona la página, sin que el usuario lo note. De esta forma, presenta formularios apócrifos con la apariencia real. Toda información ingresada en esos formularios es desviada a un servidor controlado por los cibercriminales.
Además, este malware tiene la capacidad de sustituir datos de billeteras de criptomonedas y bancarios del usuario por los de los cibercriminales, lo que habilitaría el desvío de fondos directamente a los bolsillos de los atacantes.
“Estamos ante un infostealer que posee capacidades para robar información sensible de una víctima cuando completa un formulario en una página de internet. Con capacidad de modificar la wallet y otros datos de pagos de la víctima, es una clara demostración de cómo los cibercriminales buscan un rédito financiero. Esta amenaza trasciende fronteras y aprovecha la reputación de instituciones financieras en toda la región”, comenta Mario Micucci, investigador de Seguridad Informática.
Durante la etapa de análisis, el equipo de expertos observaron que esta muestra se propaga sobre México mediante archivos adjuntos comprimidos enviados por correo electrónico. También se halló dentro de la extensión maliciosa dos archivos JavaScript con capacidades para robar datos sensibles, manipular visualmente sitios web y exfiltrar información a servidores de Comando y Control (C2).
En la figura, se puede ver el nombre con el que se instala la aplicación en el navegador, y en la figura siguiente, la descripción en portugués de la extensión, haciéndose pasar por una herramienta de seguridad.
Al analizar el archivo, se identifica una manipulación visual de sitios bancarios. Los expertos encontraron patrones comunes en páginas relacionadas con bancos o pagos, como «CPF», «CNPJ», «valor», que modifican el DOM para engañar al usuario. Esto incluye el reemplazo de datos reales por datos controlados por los atacantes. Por ejemplo, se ejecuta sobre el contenido del <body> de la página buscando patrones de texto relacionados con depósitos bancarios “epósito”, “CPF”, “Valor”). Si detecta que la página contiene términos como “depósito”, “CPF/CNPJ” y “alor” (probablemente parte de “Valor”), procede a inyectar lógica maliciosa.
“Durante el análisis notamos que la extensión maliciosa de Internet Google Chrome, persiste en la máquina víctima. Las muestras que contienen la extensión operan de manera sincronizada. Mientras una recolecta datos sensibles, la otra manipula el entorno visual del usuario para inducir a errores o desviar transferencias. Todas las interacciones son canalizadas a dominios maliciosos comunes. Es importante mencionar que esta persistencia actúa sobre el navegador afectado, puntualmente el malware se va a ejecutar cada vez que el mismo esté en uso por la víctima”, explica Micucci especialista en ciberseguridad.
El uso de capacidades avanzadas de manipulación visual, dirigidas principalmente a usuarios en entornos financieros, así como su arquitectura modular y las técnicas de evasión obligan a implementar medidas específicas para lograr su detección. Los expertos en ciberseguridad recuerdan que es muy importante verificar las extensiones instaladas en los sistemas y también que las fuentes sean confiables antes de instalar cualquier aplicación.