Mastodon Mastodon Mastodon Mastodon

Campaña de extensiones de fondos en vivo de Chrome usadas para adware

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Investigadores de la empresa Socket identificaron un clúster de 152 extensiones de Google Chrome, que se presentaban como fondos de pantalla en vivo y temas para nuevas pestañas, pero en realidad eran software publicitario con funciones de falsificación de tráfico. Según los investigadores, las extensiones estaban distribuidas entre 38 cuentas de editores en Chrome Web Store y se instalaron en total unas 105 000 veces. Se recomienda a los usuarios que hayan instalado cualquiera de estas extensiones que la eliminen de inmediato y revisen la configuración de privacidad de su navegador.

Alcance e infraestructura de la campaña

Según se informa, toda la red de extensiones se apoya en tres dominios de backend: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. Las extensiones explotan temáticas populares: personajes de anime (Satoru Gojo, Tanjiro, Zenitsu Agatsuma), videojuegos (Minecraft, Sonic Frontiers, Ghost of Tsushima), coches deportivos (Porsche 911, BMW M3), futbolistas (Neymar) y personajes de dibujos animados populares (Hello Kitty, Pusheen Cat). Este amplio abanico de temáticas está orientado a atraer a una audiencia lo más heterogénea posible.

El uso de 38 cuentas de editor independientes es una táctica característica para eludir la moderación de Chrome Web Store: la eliminación de una cuenta no afecta a las demás, lo que garantiza la resiliencia de toda la operación.

Análisis técnico del comportamiento malicioso

Declaraciones falsas sobre privacidad

Según el investigador de Socket Kush Pandya, en el listado de Chrome Web Store cada extensión declaraba que no recopila ni utiliza datos de los usuarios. Sin embargo, las políticas de privacidad asociadas, según se informa, contenían afirmaciones exactamente opuestas: las extensiones registran direcciones IP, datos del proveedor de internet, número de clics y referers, y después transmiten esta información a Google AdSense, DoubleClick y socios publicitarios de terceros.

Falsificación de tráfico orgánico

El aspecto técnicamente más destacable de la campaña es el mecanismo de manipulación de la atribución de tráfico. En un subclúster de extensiones se descubrió el archivo JavaScript js/bg.js, que contiene dos URL codificadas de forma estática, que se activan al instalar y desinstalar la extensión:

  • URL de instalación contiene parámetros UTM del tipo utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper. Al instalarse, la extensión abre una pestaña que se marca como si fuera una visita procedente de resultados orgánicos de Google, aunque el usuario no haya realizado ninguna búsqueda.
  • URL de eliminación utiliza el wrapper de redirección google.com/url con los tokens firmados ved y usg, exactamente en el formato que Google emplea para clics reales desde los resultados de búsqueda. Esto disfraza el evento de eliminación como un clic normal del usuario en un resultado de búsqueda.

La esencia del esquema es la creación artificial de señales de tráfico orgánico. Los sistemas publicitarios y las plataformas de analítica interpretan estas visitas como accesos legítimos desde búsquedas, lo que permite a los operadores de la campaña monetizar el tráfico falsificado a través de programas publicitarios de afiliación.

Funcionalidad oculta de eliminación de datos

Los investigadores también descubrieron en el código JavaScript de las extensiones una función inactiva (dormant), capaz de enumerar y eliminar todas las bases de datos IndexedDB al iniciarse el service worker. En el momento del análisis esta capacidad no estaba activada, pero su presencia apunta a un potencial para acciones más destructivas, que van desde la destrucción de datos de aplicaciones web hasta el encubrimiento de rastros de actividad maliciosa.

Evaluación del impacto

Socket clasifica la operación como una campaña comercial con motivación financiera para la distribución de software publicitario y fraude en la atribución de tráfico. Los riesgos directos para los usuarios incluyen:

  • Filtración de datos sobre el comportamiento en la red: direcciones IP, información sobre el proveedor, patrones de clics y referers se transmiten a terceros sin consentimiento informado.
  • Distorsión de las métricas publicitarias: la falsificación de tráfico orgánico perjudica a los anunciantes que pagan por impresiones y clics.
  • Escalada potencial: la presencia de una función inactiva de eliminación de IndexedDB significa que los operadores pueden activar en cualquier momento un comportamiento destructivo mediante una actualización de la extensión.

Cabe señalar que los datos sobre la campaña proceden de una única fuente de investigación. En el momento de la publicación, no se había recibido confirmación oficial por parte de Google en relación con el número de extensiones, el número de instalaciones o las medidas adoptadas.

Recomendaciones

Para usuarios individuales:

  • Compruebe la lista de extensiones instaladas en Chrome (chrome://extensions) en busca de cualquier extensión con temática de fondos de pantalla en vivo, especialmente las asociadas a los dominios tabplugins[.]com, yowgames[.]com o chromewallpaper[.]com.
  • Elimine las extensiones sospechosas y borre los datos del navegador, incluidas cookies y caché.
  • Antes de instalar extensiones, compare las declaraciones del listado de Chrome Web Store con el texto real de la política de privacidad; las discrepancias son un indicador directo de falta de fiabilidad.

Para organizaciones:

  • Utilice políticas de grupo de Chrome Enterprise para restringir la instalación de extensiones mediante listas blancas o para bloquear extensiones por identificadores.
  • Añada los dominios indicados (tabplugins[.]com, yowgames[.]com, chromewallpaper[.]com) a las listas de bloqueo a nivel de DNS o del servidor proxy.
  • Realice una auditoría de las extensiones en las estaciones de trabajo de los empleados; las extensiones con permisos para gestionar pestañas y acceder a los datos de navegación requieren especial atención.

Este caso pone de manifiesto un problema sistémico de moderación en Chrome Web Store: distribuir extensiones maliciosas entre decenas de cuentas de editores permite eludir las comprobaciones automáticas. La única protección realmente fiable del lado del usuario es minimizar el número de extensiones instaladas y auditar periódicamente sus permisos, y para las organizaciones, gestionar las extensiones de forma obligatoria mediante las políticas del navegador.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio