{"id":42039,"date":"2025-01-04T06:44:42","date_gmt":"2025-01-04T06:44:42","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/tecnologia\/los-ciberdelincuentes-estan-utilizando-un-metodo-silencioso-para-infectar-a-los-usuarios-extensiones-de-google-chrome\/"},"modified":"2025-01-04T06:44:42","modified_gmt":"2025-01-04T06:44:42","slug":"los-ciberdelincuentes-estan-utilizando-un-metodo-silencioso-para-infectar-a-los-usuarios-extensiones-de-google-chrome","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=42039","title":{"rendered":"Los ciberdelincuentes est\u00e1n utilizando un m\u00e9todo silencioso para infectar a los usuarios: extensiones de Google Chrome"},"content":{"rendered":"<div>\n<p>El sue\u00f1o del ciberdelincuente t\u00edpico es llevar a cabo ataques sin levantar sospechas entre sus v\u00edctimas. Cuando m\u00e1s discreto es un ataque, m\u00e1s eficaz suele resultar. Un grupo no identificado alcanz\u00f3 este anhelo durante un tiempo: consigui\u00f3 adulterar <strong>extensiones leg\u00edtimas de Google Chrome<\/strong>, de tal forma que los usuarios acababan infectando sus ordenadores sin saberlo.<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p>Lo m\u00e1s curioso de este ataque es que una de las extensiones comprometidas correspond\u00eda a Cyberhaven, una compa\u00f1\u00eda de prevenci\u00f3n de p\u00e9rdida de datos. \u00bfQui\u00e9n podr\u00eda haber sospechado de su complemento para el navegador? Posiblemente ninguno de sus clientes, pero el c\u00f3digo malicioso ah\u00ed estaba, buscando robar cierta informaci\u00f3n privada de los usuarios.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_81 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenido<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/enfoquenoticioso.com\/?p=42039\/#Extensiones_con_malware_para_robar_cuentas_comerciales_de_Facebook\" >Extensiones con malware para robar cuentas comerciales de Facebook<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Extensiones_con_malware_para_robar_cuentas_comerciales_de_Facebook\"><\/span>Extensiones con malware para robar cuentas comerciales de Facebook<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>El objetivo de los atacantes era apropiarse de <strong>cuentas comerciales de Facebook<\/strong>. Si bien esta red social ya ha pasado de moda para muchos, todav\u00eda tiene una enorme cantidad de usuarios y, adem\u00e1s, es una pieza clave de las acciones de marketing digital de muchas compa\u00f1\u00edas, pues sus herramientas est\u00e1n conectadas tambi\u00e9n a las otras redes de Meta como Instagram.<\/p>\n<p><!-- BREAK 3 --> <\/p>\n<p><a rel=\"noopener, noreferrer\" href=\"https:\/\/www.cyberhaven.com\/engineering-blog\/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension\" target=\"_blank\">Un an\u00e1lisis de Cyberhaven<\/a>, s\u00ed los mismos que fueron atacados, detalla que las extensiones comprometidas recopilaban informaci\u00f3n como el token de acceso a Facebook y el ID de usuario. Tambi\u00e9n intentaban obtener informaci\u00f3n sobre la cuenta a trav\u00e9s de la API, y enviaban todos estos datos, junto con las cookies de Facebook, a un servidor de comando y control.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p>La gran pregunta es c\u00f3mo consigues infectar una extensi\u00f3n de una compa\u00f1\u00eda que se dedica a la seguridad (y m\u00e1s de 30 extensiones m\u00e1s de otras compa\u00f1\u00edas). El vector de ataque inicial utilizado por estos ciberdelincuentes es un claro ejemplo de que las t\u00e9cnicas, cada vez m\u00e1s sofisticadas, <strong>son una amenaza para todo tipo de usuarios<\/strong>.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n                   <img class=\"centro_sinmarco\" height=\"2100\" width=\"1950\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/ffbd5b\/campana-extensiones-1\/450_1000.png 450w, https:\/\/i.blogs.es\/ffbd5b\/campana-extensiones-1\/650_1200.png 681w,https:\/\/i.blogs.es\/ffbd5b\/campana-extensiones-1\/1024_2000.png 1024w, https:\/\/i.blogs.es\/ffbd5b\/campana-extensiones-1\/1366_2000.png 1366w\" src=\"https:\/\/i.blogs.es\/ffbd5b\/campana-extensiones-1\/450_1000.png\" alt=\"Campana Extensiones 1\"\/><br \/>\n   <img decoding=\"async\" alt=\"Campana Extensiones 1\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/ffbd5b\/campana-extensiones-1\/450_1000.png\"\/><\/p><\/div>\n<\/div>\n<p>Todo comenz\u00f3 con una campa\u00f1a de phishing. Alguien del equipo de desarrollo de las compa\u00f1\u00edas afectadas recibi\u00f3 un correo electr\u00f3nico donde los atacantes se hac\u00edan pasar por Google. El mensaje hac\u00eda uso de una t\u00e1ctica habitual en este tipo de pr\u00e1cticas: causar alarma y provocar una acci\u00f3n inmediata. Dec\u00eda que su extensi\u00f3n infring\u00eda las pol\u00edticas de la Chrome Web Store.<\/p>\n<p><!-- BREAK 6 --> <\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n                   <img class=\"centro_sinmarco\" height=\"1316\" width=\"2492\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/a4009b\/campana-extensiones-2\/450_1000.png 450w, https:\/\/i.blogs.es\/a4009b\/campana-extensiones-2\/650_1200.png 681w,https:\/\/i.blogs.es\/a4009b\/campana-extensiones-2\/1024_2000.png 1024w, https:\/\/i.blogs.es\/a4009b\/campana-extensiones-2\/1366_2000.png 1366w\" src=\"https:\/\/i.blogs.es\/a4009b\/campana-extensiones-2\/450_1000.png\" alt=\"Campana Extensiones 2\"\/><br \/>\n   <img decoding=\"async\" alt=\"Campana Extensiones 2\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/a4009b\/campana-extensiones-2\/450_1000.png\"\/><\/p><\/div>\n<\/div>\n<p>\u00abNo permitimos extensiones con metadatos enga\u00f1osos, mal formateados, no descriptivos, irrelevantes, excesivos o inapropiados, incluidos, entre otros, la descripci\u00f3n de la extensi\u00f3n, el nombre del desarrollador, el t\u00edtulo, el \u00edcono, las capturas de pantalla y las im\u00e1genes promocionales\u00bb, dec\u00eda el correo, y a\u00f1ad\u00eda que la extensi\u00f3n <strong>pod\u00eda ser eliminada<\/strong>.<\/p>\n<p><!-- BREAK 7 --><\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n                   <img class=\"centro_sinmarco\" height=\"1488\" width=\"2504\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/dd56d3\/campana-extensiones-3\/450_1000.png 450w, https:\/\/i.blogs.es\/dd56d3\/campana-extensiones-3\/650_1200.png 681w,https:\/\/i.blogs.es\/dd56d3\/campana-extensiones-3\/1024_2000.png 1024w, https:\/\/i.blogs.es\/dd56d3\/campana-extensiones-3\/1366_2000.png 1366w\" src=\"https:\/\/i.blogs.es\/dd56d3\/campana-extensiones-3\/450_1000.png\" alt=\"Campana Extensiones 3\"\/><br \/>\n   <img decoding=\"async\" alt=\"Campana Extensiones 3\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/dd56d3\/campana-extensiones-3\/450_1000.png\"\/><\/p><\/div>\n<\/div>\n<p>Como podemos ver en la captura de pantalla, el correo parece bastante leg\u00edtimo a simple vista. Abajo hab\u00eda un bot\u00f3n de \u201cIr a la pol\u00edtica\u201d. Al pulsarlo, las cosas se complicaban. Los ciberdelincuentes montaron todo para minimizar las sospechas. Las v\u00edctimas se encontraban con un flujo de autorizaci\u00f3n est\u00e1ndar (y leg\u00edtimo) de Google.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/servicios\/seguridad-millones-sitios-web-depende-100-lamparas-lava-razon-entropia-1\" class=\"pivot-outboundlink\" data-vars-post-title=\"La seguridad de millones de sitios web depende de 100 l\u00e1mparas de lava. La raz\u00f3n: entrop\u00eda \" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"La seguridad de millones de sitios web depende de 100 l\u00e1mparas de lava. La raz\u00f3n: entrop\u00eda \" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/a411eb\/lava2\/375_142.jpeg\"\/><br \/>\n    <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>Pero detr\u00e1s de esto hab\u00eda un recurso OAuth malicioso llamado \u201cPrivacy Policy Extension\u201d que ped\u00eda al usuario acceso para <strong>administrar sus extensiones<\/strong>. Las v\u00edctimas, sin sospechar anda, acababan d\u00e1ndole el control de sus extensiones a los ciberdelincuentes, quienes m\u00e1s tarde publicaban versiones manipuladas de las mismas para cosechar nuevas v\u00edctimas.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<p>Im\u00e1genes | Google + Adobe Photoshop | Cyberhaven<\/p>\n<p>En Xataka | <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/componentes\/tu-cable-usb-c-puede-tener-lado-siniestro-hackers-estan-integrando-componentes-ocultos-para-atacar-a-sus-victimas\" data-vars-post-title=\"Tu cable USB-C puede tener un lado siniestro: los hackers est\u00e1n integrando componentes ocultos para atacar a sus v\u00edctimas  \" data-vars-post-url=\"https:\/\/www.xataka.com\/componentes\/tu-cable-usb-c-puede-tener-lado-siniestro-hackers-estan-integrando-componentes-ocultos-para-atacar-a-sus-victimas\" target=\"_blank\" rel=\"noopener\">Tu cable USB-C puede tener un lado siniestro: los hackers est\u00e1n integrando componentes ocultos para atacar a sus v\u00edctimas<\/a><\/p>\n<\/p><\/div>\n<p><a href=\"https:\/\/www.xataka.com\/seguridad\/ciberdelincuentes-estan-utilizando-metodo-silencioso-para-infectar-a-usuarios-extensiones-google-chrome\" class=\" target=\" title=\"Los ciberdelincuentes est\u00e1n utilizando un m\u00e9todo silencioso para infectar a los usuarios: extensiones de Google Chrome\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El sue\u00f1o del ciberdelincuente t\u00edpico es llevar a cabo ataques sin levantar sospechas entre sus v\u00edctimas. Cuando m\u00e1s discreto es un ataque, m\u00e1s eficaz suele resultar. Un grupo no identificado alcanz\u00f3 este anhelo durante un tiempo: consigui\u00f3 adulterar extensiones leg\u00edtimas de Google Chrome, de tal forma que los usuarios acababan infectando sus ordenadores sin saberlo. [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":42040,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-42039","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/42039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=42039"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/42039\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/42040"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=42039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=42039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=42039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}