La reciente aparición de una extensión maliciosa en Google Chrome ha encendido las alarmas en varias regiones de América Latina, luego de que el Laboratorio de Investigación de ESET Latinoamérica confirmara su presencia en equipos Windows.
La extensión, identificada como JS/Spy.Banker.CV, simula ser una utilidad de seguridad, aunque su verdadero propósito es sustraer información bancaria y de billeteras virtuales, facilitando el desvío de fondos hacia cuentas controladas por ciberdelincuentes, de acuerdo con el reporte.
En las investigaciones realizadas, se detectó que esta amenaza se propaga especialmente en México a través de correos electrónicos que adjuntan archivos comprimidos y aparentan proceder de entidades financieras legítimas.
El análisis del código fuente reveló textos y variables en portugués, lo que indica que la operación tiene un despliegue regional y afecta a diversos países y no únicamente a uno en particular.
Al interactuar con sitios financieros, la extensión maliciosa utiliza técnicas avanzadas para modificar el Document Object Model (DOM), logrando alterar tanto el aspecto como el comportamiento de las páginas sin que el usuario lo advierta.
Así, la amenaza presenta formularios fraudulentos, muy similares a los originales, con el fin de capturar datos personales y bancarios, los cuales se envían directamente a los servidores de quienes perpetran el ataque. Uno de los riesgos más notorios es la capacidad del código para sustituir los datos de cuentas bancarias y billeteras de criptomonedas por aquellos de los ciberdelincuentes, posibilitando el traspaso inadvertido de fondos.
Según destaca el informe, la arquitectura del ataque se apoya en dos archivos JavaScript incorporados en la extensión, los cuales permiten recolectar información sensible, alterar sitios web y establecer comunicación con infraestructuras de Comando y Control (C2). Estos archivos aseguran la persistencia del malware en el navegador, ejecutándose cada vez que la víctima utiliza Google Chrome en el equipo comprometido.
El investigador de seguridad Mario Micucci, de ESET Latinoamérica, enfatizó durante la difusión de los hallazgos: “Estamos ante un infostealer diseñado para robar información sensible y modificar datos financieros del usuario. Su alcance y sofisticación muestran que los atacantes buscan beneficios económicos y operan más allá de las fronteras nacionales”.
Como parte de las medidas preventivas, la empresa de ciberseguridad a los usuarios revisar periódicamente las extensiones instaladas, asegurarse de que sean descargadas de fuentes oficiales y mantener siempre actualizadas las soluciones de seguridad instaladas en sus dispositivos. Asimismo, enfatiza la importancia de desconfiar de correos electrónicos no solicitados, en especial aquellos que incluyan archivos adjuntos o enlaces relacionados con supuestas comunicaciones de instituciones financieras.
Diversas investigaciones han advertido sobre un conjunto de extensiones para Google Chrome que ponen en riesgo la privacidad y la seguridad de los usuarios, al acceder a datos personales sensibles sin consentimiento o con prácticas poco transparentes.
Entre estas extensiones figuran aquellas dedicadas a la descarga de videos y archivos, agregadores de cupones, conversores de formatos y supuestos aceleradores de productividad que, una vez instalados, pueden recolectar credenciales, historial de navegación e información de tarjetas, comprometiendo la integridad de las cuentas y la información almacenada en el navegador.
Especialistas advierten que el hecho de que una extensión esté disponible en la Chrome Web Store no garantiza su seguridad, ya que varias de las extensiones señaladas han sorteado los controles de la tienda oficial.
Por ello, aconsejan revisar detenidamente los permisos solicitados, evitar descargar herramientas de procedencia dudosa y mantener el navegador actualizado. La prevención y la cautela a la hora de instalar nuevos complementos resultan esenciales para minimizar riesgos frente a posibles ataques de malware y robo de datos.
