¿Cuántas extensiones maliciosas se detectaron y cuáles eran las más populares?

Investigadores de LayerX detectaron 30 extensiones maliciosas. Las más populares incluían Gemini AI Sidebar (80.000 usuarios), AI Sidebar (70.000), AI Assistant (60.000), ChatGPT Translate (30.000) y AI GPT (20.000).

¿Cómo roban información estas extensiones AiFrame?

Las extensiones cargan contenido remoto en un iframe a pantalla completa y recopilan datos de las páginas visitadas mediante JavaScript y la biblioteca Readability de Mozilla. Algunas apuntan específicamente a Gmail, capturando correos electrónicos visibles, hilos y borradores, y enviando la información a servidores controlados por los atacantes.

¿Qué riesgos adicionales representan estas extensiones?

Además del robo de correos y credenciales, algunas extensiones pueden usar reconocimiento de voz remoto mediante la Web Speech API, capturando transcripciones de conversaciones del entorno del usuario, lo que aumenta el riesgo de privacidad y seguridad.

¿Cómo puedo protegerme de AiFrame y otras extensiones maliciosas?

Se recomienda revisar la lista de indicadores de compromiso (IoC) de LayerX, desinstalar extensiones sospechosas, restablecer contraseñas, activar autenticación multifactor (MFA) y limitar los permisos de las extensiones, además de mantener el navegador actualizado.

¿Por qué estas extensiones eran difíciles de detectar?

Las extensiones no ejecutan IA localmente, sino que cargan contenido remoto en iframes, lo que permite a los atacantes modificar su comportamiento sin pasar por revisiones adicionales de la Chrome Web Store. Esto, junto con la apariencia legítima de asistentes de IA, dificultaba su detección por parte de usuarios y sistemas de seguridad.

Más de 300.000 usuarios Afectados por Extensiones de Chrome falsas de IA que roban Credenciales y Correos | Noticias Hacking y Seguridad Informática

Q: ¿Qué es la campaña AiFrame?

AiFrame es una campaña de extensiones maliciosas de Chrome que se hacían pasar por asistentes de inteligencia artificial para robar credenciales, contenido de correos electrónicos e información de navegación de los usuarios.

Investigadores de LayerX, plataforma de seguridad de navegadores, han descubierto 30 extensiones maliciosas de Chrome que se hacían pasar por asistentes de inteligencia artificial para robar credenciales, contenido de correos electrónicos e información de navegación.

Algunas de estas extensiones aún están presentes en la Chrome Web Store, con decenas de miles de instalaciones, mientras que otras muestran cifras más pequeñas.

La campaña ha sido bautizada como AiFrame y todas las extensiones analizadas se comunican con la misma infraestructura bajo el dominio tapnetic[.]pro.

Extensiones más populares de la campaña AiFrame

Entre las extensiones detectadas, las de mayor alcance incluyen:

Gemini AI Sidebar – 80.000 usuarios (ya eliminada)
AI Sidebar – 70.000 usuarios
AI Assistant – 60.000 usuarios
ChatGPT Translate – 30.000 usuarios
AI GPT – 20.000 usuarios
ChatGPT – 20.000 usuarios
AI Sidebar (segunda versión) – 10.000 usuarios
Google Gemini – 10.000 usuarios

Todas las extensiones comparten estructura interna, lógica en JavaScript, permisos y backend, y no ejecutan IA localmente.

En su lugar, muestran un iframe a pantalla completa que carga contenido desde un dominio remoto, lo que permite a los operadores modificar la funcionalidad sin necesidad de pasar por nuevas revisiones de la tienda.

Saber Más..

¿Cómo roban información estas extensiones?

Las extensiones recopilan contenido de las páginas visitadas, incluyendo páginas de autenticación sensibles, utilizando la biblioteca Readability de Mozilla.

Además, 15 de las extensiones apuntan específicamente a Gmail mediante un script de contenido que se ejecuta en document_start en mail.google.com. Este script:

Captura el texto de correos electrónicos visibles directamente del DOM
Extrae repetidamente hilos de correos electrónicos a través de .textContent
Incluso puede capturar borradores de correos electrónicos

Cuando se utilizan funciones como respuestas automáticas o resúmenes asistidos por IA, la información capturada se envía a servidores controlados por los operadores fuera de Gmail, rompiendo los límites de seguridad de la plataforma.

Riesgos adicionales

Las extensiones también incluyen:

Reconocimiento de voz remoto y generación de transcripciones mediante la Web Speech API
Posibilidad de capturar conversaciones del entorno de la víctima, dependiendo de los permisos otorgados

Esta combinación convierte a las extensiones AiFrame en un grave riesgo de privacidad y seguridad, pudiendo comprometer cuentas de correo, credenciales de inicio de sesión y datos sensibles del navegador.

Recomendaciones de seguridad

LayerX recomienda a los usuarios:

Revisar la lista de indicadores de compromiso (IoC) publicada por LayerX para identificar las extensiones maliciosas
Desinstalar inmediatamente cualquier extensión sospechosa
Restablecer contraseñas de todas las cuentas potencialmente comprometidas
Activar autenticación multifactor (MFA) en servicios críticos
Mantener el navegador y todas las extensiones actualizadas, y limitar los permisos de las extensiones

Extensiones más populares de la campaña AiFrame

¿Cómo roban información estas extensiones?

Riesgos adicionales

Recomendaciones de seguridad

🔥 LO MÁS VISTO DE ESTA CATEGORÍA