Tu extensión favorita ahora sirve a los hackers, y Google sigue recomendándola
Revisa la lista de extensiones instaladas antes de que sea demasiado tarde.
La extensión para el navegador Chrome llamada ShotBird, que durante largo tiempo se consideró una herramienta legítima para crear capturas de pantalla y trabajar con imágenes, se convirtió en un canal de distribución de código malicioso.
Un análisis reciente de monxresearch-sec mostró, que tras el cambio de propietario los desarrolladores insertaron en la versión actualizada un mecanismo de control remoto que permitía a los atacantes inyectar scripts maliciosos, interceptar datos de formularios y empujar a los usuarios a ejecutar archivos infectados.
ShotBird apareció a finales de 2024 y pronto fue incluido en la lista de extensiones recomendadas de la Chrome Web Store. Hasta diciembre de 2025 en la ficha del producto figuraba como desarrollador Akshay Anu. Más tarde el contacto cambió a la dirección de Laura Price, tras lo cual la funcionalidad de la extensión cambió drásticamente. En marzo de 2026, tras la publicación del informe, la página de la extensión en la tienda de Chrome dejó de estar disponible.
La investigación mostró que la versión maliciosa se conectaba con servidores de control y recibía regularmente tareas en forma de código JavaScript. Esos scripts se inyectaban directamente en las páginas visitadas. Las funciones maliciosas permitían enviar al servidor las direcciones de los sitios visitados y los metadatos de las páginas, insertar en los sitios notificaciones falsas de actualización de Chrome, así como interceptar datos introducidos en formularios. Los scripts supervisaban campos con contraseñas, datos bancarios, códigos de verificación y otros datos sensibles, y luego enviaban la información al servidor de los atacantes.
Un mecanismo independiente desactivaba los encabezados de seguridad del navegador, incluidos Content-Security-Policy y X-Frame-Options. Gracias a esto, los scripts inyectados podían ejecutarse incluso en páginas donde normalmente se bloquean esas acciones.
El ataque no se limitaba al navegador. En algunos escenarios se mostraba al usuario una ventana falsa de actualización de Chrome. Tras pulsar el botón se descargaba un archivo googleupdate.exe. El análisis mostró que en su interior había un instalador de Chrome con una firma válida de Google y un paquete adicional psfx.msi. Este último ejecutaba un comando PowerShell codificado que descargaba la siguiente etapa del código malicioso desde el dominio orangewater00.com.
Los registros de PowerShell en el sistema infectado confirmaron la ejecución de la segunda fase. El script descargado desactivaba el registro de eventos de PowerShell, obtenía acceso al gestor de credenciales de Windows y recopilaba datos de navegadores basados en Chromium, incluidos los archivos Login Data y Web Data. Además, el código contenía funciones para enviar la información robada a servidores remotos.
La infraestructura de la campaña incluía varios dominios, entre ellos api.getextensionanalytics.top, ggl.lat y baysideceu.com. La arquitectura de los servidores de control y la estructura de la API coinciden con otra campaña sobre la que anteriormente informó la empresa Annex Security al investigar la extensión infectada QuickLens. Ambos casos comparten el mismo esquema: una extensión legítima se vende a nuevos propietarios y las actualizaciones convierten el producto en una herramienta de ataque.
Los especialistas remitieron información sobre la campaña al equipo de Google y al sistema Safe Browsing los días 7 y 8 de marzo de 2026. Tras la publicación del informe, la extensión ShotBird desapareció de la Chrome Web Store; sin embargo, restos de la infraestructura y los dominios relacionados siguen operativos, lo que indica la posible existencia de otras extensiones infectadas.