Una investigación de Koi Security ha destapado una campaña masiva de malware, bautizada como VK Styles, basada en extensiones maliciosas para el navegador Chrome. Bajo la apariencia de simples herramientas de personalización de la interfaz de VKontakte, estas extensiones llegaron a comprometer a alrededor de 500 000 cuentas, manipulando de forma silenciosa la actividad de los usuarios y sus preferencias dentro de la red social.
Campaña VK Styles: alcance del ataque a usuarios de VKontakte
Los investigadores identificaron cinco extensiones maliciosas de Chrome orientadas específicamente a usuarios de VKontakte, con un total combinado superior a 500 000 instalaciones. La más popular, precisamente llamada VK Styles, superó las 400 000 descargas. El objetivo principal no era el robo directo de credenciales, sino la creación de una infraestructura de influencia y monetización a través de un gran grupo dentro de VK.
En 2024, una de estas extensiones ya había sido retirada de Chrome Web Store por incumplir la política de la plataforma. Sin embargo, el operador de la campaña simplemente publicó variantes nuevas y mantuvo la actividad. El impacto se concentró en la audiencia rusohablante de VK: usuarios de Europa del Este, Asia Central y comunidades de diáspora en otros países.
Funcionamiento técnico de las extensiones maliciosas de Chrome
En la tienda oficial de Chrome, las extensiones VK Styles se presentaban como herramientas legítimas: temas visuales, funciones adicionales y mejoras de interfaz para VKontakte. No obstante, el sistema de análisis de riesgos de Koi Security detectó que el código inyectaba en todas las páginas visitadas por el usuario scripts de publicidad contextual de Yandex junto con JavaScript de terceros.
Un detalle relevante para la detección fue el uso de un ID de Yandex.Metrika generado dinámicamente (por ejemplo, a partir de expresiones del tipo ‘R-A-‘ + 843079 * 2). Este enfoque complica el análisis estático del código e incrementa las probabilidades de pasar desapercibido en revisiones automatizadas, una táctica habitual en campañas de malware de navegador.
Infraestructura de mando y control basada en VK y GitHub
El núcleo de la infraestructura de mando y control (C2) se ocultaba en un perfil de VK: vk[.]com/m0nda. La extensión consultaba periódicamente esta página y extraía, desde sus metadatos HTML, la configuración y los enlaces necesarios para descargar scripts adicionales desde GitHub y servicios de Yandex, donde se alojaba la carga maliciosa principal.
El análisis apunta a un operador que actúa bajo el alias 2vk. En su cuenta de GitHub se encontró un repositorio minimalista llamado «-», que contiene un archivo «C» con JavaScript fuertemente ofuscado. Este código se inyectaba en cada página de VK visitada por la víctima. El historial de 17 commits, entre junio de 2025 y enero de 2026, muestra la evolución progresiva del malware: desde funciones básicas de interacción con cookies CSRF hasta complejos flujos de autoseguimiento de grupos, reseteo de configuraciones y uso directo de la VK Donut API.
Manipulación de cuentas: suscripciones ocultas y control de la configuración
Una de las capacidades centrales de VK Styles era la suscripción silenciosa de los usuarios a un grupo controlado por los atacantes: la comunidad VK Styles (ID -168874636), que acumula aproximadamente 1,4 millones de miembros. Cada vez que la víctima accedía a VK, el script malicioso intentaba suscribirla automáticamente con una probabilidad estimada del 75 %. Tras una baja manual del grupo, existía una probabilidad similar de que la suscripción volviera a activarse.
El código también intervenía en la experiencia de uso a largo plazo. Aproximadamente cada 30 días, el malware restablecía la configuración del perfil: modificaba la ordenación del feed de noticias al modo «Recientes» y cambiaba parámetros personalizados y otros elementos de la cuenta. De esta forma, la extensión mantenía un control persistente sobre el entorno del usuario dentro de la red social.
Especial preocupación genera la capacidad de la campaña para manipular cookies relacionadas con la protección CSRF de VKontakte, en particular el cookie remixsec_redir. Los tokens CSRF están diseñados para evitar acciones no autorizadas en nombre del usuario. Un acceso indebido a estas cookies puede facilitar cadenas de peticiones que aparentan ser legítimas, ampliando el abanico de acciones que el atacante podría automatizar sin interacción visible.
Monetización con VK Donut y efecto de prueba social
Según el informe de Koi Security, la monetización se articuló alrededor de funciones “premium” dentro de la propia extensión. A través de la VK Donut API, el malware verificaba si el usuario era donante del grupo VK Styles y, en función de ello, desbloqueaba o restringía determinadas características.
En la práctica, parte de las víctimas pagaba por un producto que vulneraba su seguridad: la extensión manipulaba sus cuentas, forzaba la suscripción al grupo y alteraba periódicamente su configuración. El elevado número de seguidores del grupo (1,4 millones) reforzaba un potente efecto de prueba social: al percibir un gran volumen de miembros, muchos usuarios interpretaban la comunidad y la extensión como algo legítimo, lo que incrementaba la tasa de instalación y la dificultad de detección temprana.
Riesgos de las actualizaciones automáticas de extensiones y lecciones de seguridad
El caso VK Styles ilustra uno de los principales riesgos de seguridad en extensiones de navegador: el mecanismo de actualización automática. Una vez que un desarrollador —legítimo o malicioso— obtiene una base de cientos de miles de instalaciones, puede desplegar en cualquier momento una versión con funcionalidad mucho más peligrosa, sin requerir acción explícita del usuario. En esta campaña no se han documentado, por ahora, robos masivos de contraseñas o datos personales, pero la arquitectura de la operación permitiría escalar fácilmente hacia ese tipo de abusos.
Este incidente refuerza la necesidad de que los usuarios limiten el número de extensiones instaladas, revisen los permisos solicitados, analicen señales anómalas (cambios de configuración, suscripciones inesperadas, anuncios inusuales) y mantengan actualizado el navegador. En entornos corporativos, es recomendable aplicar listas blancas de extensiones autorizadas, gestionar las políticas de Chrome de forma centralizada y monitorizar de manera proactiva los incidentes relacionados con plugins. Adoptar estas prácticas reduce significativamente la superficie de ataque y mitiga el impacto de futuras campañas similares a VK Styles.
