Elimina ya estas extensiones de Chrome y Edge si no quieres perder acceso a tus cuentas bancarias
Revise su navegador en busca de agentes "durmientes" de DarkSpectre.
El grupo de hackers que opera bajo el nombre DarkSpectre infectó sistemáticamente durante siete años los ordenadores de usuarios de los navegadores Chrome, Edge y Firefox. Según Koi Security, sus víctimas fueron más de 8,8 millones de dispositivos únicos. La operación a gran escala incluyó tres campañas distintas y se caracterizó por un alto grado de coordinación y recursos.
La investigación mostró que detrás de las campañas ShadyPanda, Zoom Stealer y GhostPoster, pese a sus distintos objetivos (desde el robo de datos de usuarios hasta el espionaje corporativo), se encuentra la misma organización criminal. En total se utilizaron más de cien extensiones distribuidas a través de tiendas oficiales de navegadores. Los atacantes combinaban hábilmente funciones legítimas (por ejemplo, mostrar el tiempo o crear nuevas pestañas) con actividad maliciosa imperceptible para la mayoría de los sistemas de verificación.
Los especialistas prestaron atención a la infraestructura de ShadyPanda y descubrieron que dos dominios usados para funciones legítimas de las extensiones, infinitynewtab.com e infinitytab.com, interactuaban paralelamente con servidores de control de actividad maliciosa. Estos dominios fueron la clave para unir campañas que al principio parecían dispares en una sola cadena.
Es especialmente alarmante cuánto tiempo mantuvieron los atacantes las extensiones «inactivas» en los navegadores sin carga maliciosa. En algunos casos el código malicioso se activó una semana después de la instalación. Además, la actividad maliciosa se lanzaba solo en parte de las ocasiones, aproximadamente en una de cada diez visitas a sitios, lo que reducía considerablemente la probabilidad de detección.
Los métodos para ocultar código malicioso en esta operación alcanzaron un alto nivel. Las extensiones descargaban imágenes en formato PNG que contenían incorporado contenido JavaScript oculto. El logotipo de la extensión servía de cobertura: al cargarse la imagen se descifraba, el código se extraía y se ejecutaba sin que el usuario lo notara.
El código adicional que se descargaba estaba protegido por múltiples capas de cifrado y camuflaje, incluyendo métodos propios de codificación, cifrado XOR y empaquetado diseñado específicamente para evadir herramientas automáticas de análisis. Tras la activación, las extensiones se conectaban con servidores remotos y descargaban hasta 67 kilobytes de JavaScript adicional. Esto permitía a los delincuentes controlar las acciones de la extensión sin recurrir a una actualización, lo que evitaba una nueva moderación.
El enfoque de DarkSpectre para distribuir código malicioso resultó especialmente eficaz gracias a una arquitectura en la que la carga principal se sustituye en el lado de los servidores. De este modo, no es posible eliminar la amenaza bloqueando una versión concreta de la extensión: el contenido cambia «en vuelo», sin intervención del usuario.
Lista de extensiones maliciosas detectadas (campaña Zoom Stealer)
| Navegador | Extensión | ID |
|---|---|---|
| Google Chrome | Chrome Audio Capture | kfokdmfpdnokpmpbjhjbcabgligoelgp |
| Google Chrome | ZED: Zoom Easy Downloader | pdadlkbckhinonakkfkdaadceojbekep |
| Google Chrome | X (Twitter) Video Downloader | akmdionenlnfcipmdhbhcnkighafmdha |
| Google Chrome | Google Meet Auto Admit | pabkjoplheapcclldpknfpcepheldbga |
| Google Chrome | Zoom.us Always Show "Join From Web" | aedgpiecagcpmehhelbibfbgpfiafdkm |
| Google Chrome | Timer for Google Meet | dpdgjbnanmmlikideilnpfjjdbmneanf |
| Google Chrome | CVR: Chrome Video Recorder | kabbfhmcaaodobkfbnnehopcghicgffo |
| Google Chrome | GoToWebinar & GoToMeeting Download Recordings | cphibdhgbdoekmkkcbbaoogedpfibeme |
| Google Chrome | Meet auto admit | ceofheakaalaecnecdkdanhejojkpeai |
| Google Chrome | Google Meet Tweak (Emojis, Text, Cam Effects) | dakebdbeofhmlnmjlmhjdmmjmfohiicn |
| Google Chrome | Mute All on Meet | adjoknoacleghaejlggocbakidkoifle |
| Google Chrome | Google Meet Push-To-Talk | pgpidfocdapogajplhjofamgeboonmmj |
| Google Chrome | Photo Downloader for Facebook, Instagram, + | ifklcpoenaammhnoddgedlapnodfcjpn |
| Google Chrome | Zoomcoder Extension | ebhomdageggjbmomenipfbhcjamfkmbl |
| Google Chrome | Auto-join for Google Meet | ajfokipknlmjhcioemgnofkpmdnbaldi |
| Microsoft Edge | Edge Audio Capture | mhjdjckeljinofckdibjiojbdpapoecj |
| Mozilla Firefox | Twiter X Video Downloader | {7536027f-96fb-4762-9e02-fdfaedd3bfb5} |
| Mozilla Firefox | x-video-downloader | xtwitterdownloader@benimaddonum.com |