Las extensiones de navegador basadas en IA siguen siendo un vector popular para los actores de amenazas que buscan recopilar información de los usuarios. Los investigadores de la firma de seguridad LayerX han analizado múltiples campañas en los últimos meses que involucran extensiones de navegador maliciosas, incluido el esquema GhostPoster generalizado dirigido a Chrome, Firefox y Edge. En el último, denominado AiFrame, los actores de amenazas han implementado aproximadamente 30 complementos de Chrome que se hacen pasar por asistentes de inteligencia artificial conocidos, incluidos Claude, ChatGPT, Gemini, Grok y «AI Gmail». En conjunto, estas falsificaciones tienen más de 300.000 instalaciones.
Las extensiones falsas de Chrome parecen asistentes de inteligencia artificial populares
Las extensiones de Chrome identificadas como parte de AiFrame parecen herramientas legítimas de inteligencia artificial que se usan comúnmente para resumir, chatear, escribir y recibir asistencia de Gmail. Pero una vez instalados, otorgan a los atacantes un amplio acceso remoto al navegador del usuario. Algunas de las capacidades observadas incluyen reconocimiento de voz, seguimiento de píxeles y legibilidad del contenido del correo electrónico. Los investigadores señalan que las extensiones son ampliamente capaces de recopilar datos y monitorear el comportamiento del usuario.
Aunque las extensiones analizadas por LayerX utilizaron una variedad de nombres y marcas, se descubrió que las 30 tenían la misma estructura interna, lógica, permisos e infraestructura de backend. En lugar de implementar la funcionalidad localmente en el dispositivo del usuario, muestran un iframe de pantalla completa que carga contenido remoto como interfaz de la extensión. Esto permite a los atacantes realizar cambios de forma silenciosa en cualquier momento sin necesidad de actualizar Chrome Web Store.
LayerX tiene una lista completa de los nombres y los ID de extensión a los que hacer referencia. Debido a que los actores de amenazas utilizan marcas familiares y/o genéricas, como «Gemini AI Sidebar» y «ChatGPT Translate», es posible que no puedas identificar falsificaciones a primera vista. Si tiene un asistente de IA instalado en Chrome, vaya a chrome://extensiones, active Modo desarrollador en la esquina superior derecha y busque el ID debajo del nombre de la extensión. Elimine cualquier complemento malicioso y restablezca las contraseñas.
¿Qué opinas hasta ahora?
Como informa BleepingComputer, algunas de las extensiones maliciosas ya se han eliminado de Chrome Web Store, pero otras permanecen. Varios han recibido la insignia «Destacados», lo que aumenta su legitimidad. Los actores de amenazas también han podido volver a publicar rápidamente complementos con nuevos nombres utilizando la infraestructura existente, por lo que esta campaña y otras similares pueden persistir. Examine siempre las extensiones con cuidado (no se base únicamente en un nombre familiar como ChatGPT) y tenga en cuenta que incluso los complementos impulsados por IA de fuentes confiables pueden ser altamente invasivos.