{"id":543,"date":"2026-04-14T09:39:17","date_gmt":"2026-04-14T09:39:17","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/108-extensiones-maliciosas-de-chrome-roban-datos-de-google-y-telegram-y-afectan-a-20-000-usuarios-cyberdefensa-mx\/"},"modified":"2026-04-14T09:39:17","modified_gmt":"2026-04-14T09:39:17","slug":"108-extensiones-maliciosas-de-chrome-roban-datos-de-google-y-telegram-y-afectan-a-20-000-usuarios-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/108-extensiones-maliciosas-de-chrome-roban-datos-de-google-y-telegram-y-afectan-a-20-000-usuarios-cyberdefensa-mx\/","title":{"rendered":"108 extensiones maliciosas de Chrome roban datos de Google y Telegram y afectan a 20.000 usuarios \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han descubierto una nueva campa\u00f1a en la que se ha descubierto que un grupo de 108 extensiones de Google Chrome se comunican con la misma infraestructura de comando y control (C2) con el objetivo de recopilar datos del usuario y permitir el abuso a nivel del navegador mediante la inyecci\u00f3n de anuncios y c\u00f3digo JavaScript arbitrario en cada p\u00e1gina web visitada.<\/p>\n<p>Seg\u00fan Socket, las extensiones se publican bajo cinco identidades de editor distintas (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt) y en conjunto han acumulado alrededor de 20.000 instalaciones en Chrome Web Store.<\/p>\n<p>\u00abLos 108 enrutan credenciales robadas, identidades de usuario y datos de navegaci\u00f3n a servidores controlados por el mismo operador\u00bb, investigador de seguridad Kush Pandya. <a href=\"https:\/\/socket.dev\/blog\/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2\">dicho<\/a> en un an\u00e1lisis. <\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>De estos, 54 complementos roban la identidad de la cuenta de Google a trav\u00e9s de OAuth2, 45 extensiones contienen una puerta trasera universal que abre URL arbitrarias tan pronto como se inicia el navegador, y las restantes participan en una variedad de comportamientos maliciosos.<\/p>\n<ul>\n<li>Exfiltrar sesiones web de Telegram cada 15 segundos<\/li>\n<li>Elimina los encabezados de seguridad de YouTube y TikTok (es decir, Pol\u00edtica de seguridad de contenido, X-Frame-Options y CORS) e inyecta superposiciones y anuncios de juegos de azar.<\/li>\n<li>Inyecte scripts de contenido en cada p\u00e1gina que visita el usuario.<\/li>\n<li>Proxy todas las solicitudes de traducci\u00f3n a trav\u00e9s del servidor del actor de amenazas<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjCID6WdCf6NahLEXNxG3NBdHR_nMToGiNP1RUeIAFXerxXS2XzGKaoloqKKTd99YEZPnsRSoyE3wzEs3NTO_Q-cfGclNOO76hxbLwVvbeQTP2MD0Gf1TFEKEfKecz2VOuYOSz5bBIbyZ11d_Cql_a6VY90d9lQVxwnDjE4P4JGZu-snpVRd4KJw9Job0bS\/s1700-e365\/tele.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjCID6WdCf6NahLEXNxG3NBdHR_nMToGiNP1RUeIAFXerxXS2XzGKaoloqKKTd99YEZPnsRSoyE3wzEs3NTO_Q-cfGclNOO76hxbLwVvbeQTP2MD0Gf1TFEKEfKecz2VOuYOSz5bBIbyZ11d_Cql_a6VY90d9lQVxwnDjE4P4JGZu-snpVRd4KJw9Job0bS\/s1700-e365\/tele.jpg\" alt=\"\" border=\"0\" data-original-height=\"1280\" data-original-width=\"1280\"\/><\/a><\/div>\n<p>En un intento de dar una apariencia de legitimidad, las extensiones identificadas se hacen pasar por clientes de la barra lateral de Telegram, m\u00e1quinas tragamonedas y juegos de Keno, potenciadores de YouTube y TikTok, herramientas de traducci\u00f3n de texto y utilidades de p\u00e1ginas. La funcionalidad anunciada es diversa y tiene como objetivo lanzar una red amplia, mientras comparte el mismo backend.<\/p>\n<p>Sin embargo, sin que los usuarios lo sepan, el c\u00f3digo malicioso que se ejecuta en segundo plano captura informaci\u00f3n de la sesi\u00f3n, inyecta scripts arbitrarios y abre URL elegidas por el atacante.<\/p>\n<p>Algunas de las extensiones identificadas se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Cuenta m\u00faltiple de Telegram (ID: obifanppcpchlehkjipahhphbcbjekfa), que extrae el token de autenticaci\u00f3n de usuario utilizado por Telegram Web y filtra los datos a un servidor remoto. Tambi\u00e9n puede sobrescribir localStorage con datos de sesi\u00f3n proporcionados por el actor de amenazas y forzar la carga de la aplicaci\u00f3n de mensajer\u00eda, reemplazando efectivamente la sesi\u00f3n activa de Telegram de la v\u00edctima con la sesi\u00f3n elegida por el actor de amenazas.<\/li>\n<li>Cliente web para Telegram: Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), que elimina los encabezados de seguridad de Telegram e inyecta scripts para robar sesiones de Telegram.<\/li>\n<li>Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), que roba la identidad de la cuenta de Google del usuario la primera vez que la v\u00edctima hace clic en el bot\u00f3n de inicio de sesi\u00f3n. Esto incluye detalles como correo electr\u00f3nico, nombre completo, URL de la imagen de perfil e identificador de cuenta de Google.<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abCinco extensiones utilizan la API declarativeNetRequest de Chrome para eliminar los encabezados de seguridad de los sitios de destino antes de que se cargue la p\u00e1gina\u00bb, dijo Socket. \u00abLas 108 extensiones maliciosas comparten el mismo backend, alojado en 144.126.135[.]238.\u00bb<\/p>\n<p>Actualmente no se sabe qui\u00e9n est\u00e1 detr\u00e1s de las extensiones que violan la pol\u00edtica. Sin embargo, un an\u00e1lisis del c\u00f3digo fuente ha descubierto comentarios en ruso en varios complementos.<\/p>\n<p>Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones que las eliminen con efecto inmediato y cierren sesi\u00f3n en todas las sesiones web de Telegram desde la aplicaci\u00f3n m\u00f3vil de Telegram.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han descubierto una nueva campa\u00f1a en la que se ha descubierto que un grupo de 108 extensiones de Google Chrome se comunican con la misma infraestructura de comando y control (C2) con el objetivo de recopilar datos del usuario y permitir el abuso a nivel del navegador mediante la inyecci\u00f3n de anuncios [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[854,17,24,627,314,256,315,1778,308,1115],"class_list":["post-543","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-afectan","tag-chrome","tag-cyberdefensa-mx","tag-datos","tag-extensiones","tag-google","tag-maliciosas","tag-roban","tag-telegram","tag-usuarios"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=543"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/543\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}