Si ha instalado recientemente alguno Asistente de Inteligencia Artificial En tu navegador Google Chrome, debes revisar tu lista de extensiones ahora porque podrías ser una de ellas. 300.000 víctimas Habían entregado sus documentos sin su conocimiento.

Informes técnicos difundidos por medios profesionales La computadora emite un pitidoUna investigación realizada por la empresa de seguridad LayerX ha descubierto una red masiva de 30 extensiones maliciosas. actividad se llama «Marco de IA». Estas herramientas prometen utilizar inteligencia artificial para resumir texto, traducir páginas o ayudar a escribir correos electrónicos, pero en realidad son software espía sofisticado diseñado para robar todo tipo de contraseñas y credenciales.

¿Qué extensiones son?

En lugar de utilizar nombres extraños, los atacantes imitan casi a la perfección las herramientas oficiales o utilizan términos genéricos que tienen sentido en las búsquedas generales. Aunque Google ha retirado uno de los más populares, “Barra lateral de IA de Géminis” El software se ha descargado 80.000 veces y los investigadores advierten que gran parte todavía se encuentra en Chrome Web Store o instalado en los navegadores de miles de personas.

Los expertos de LayerX y BleepingComputer han descubierto que algunas de estas extensiones aún conservan decenas de miles de usuarios activos. Si tiene alguno de los siguientes instalados, elimínelos inmediatamente:

• Barra lateral de inteligencia artificial (ID:gghdfkafnhfpaooiolhncejnlgglhkhe). Más de 70.000 usuarios se vieron afectados.
• Asistente de Inteligencia Artificial (Identificación: nlhpidbjmmffhoogcennoiopekbiglbp). 60.000 usuarios.
• Traducción de ChatGPT (ID: acaefedijmccnjlokgcdiojiljfpbe). 30.000 usuarios.
• GPT de Inteligencia Artificial (ID:kblengdlefjpjkekanpoidgoghdngdgl). Tiene 20.000 usuarios.
• Chat GPT (ID:llojfncgbabajmdglnkbhmiebiinohek). Más de 20.000 usuarios.
• Google Géminis (ID:fdlagfnfaheppaigholhoojabfaapnhb). Aproximadamente 10.000 usuarios.

También es importante comprobar el ID y compararlo con el ID que tienes instalado para ver si es el mismo.

También cabe destacar que aunque los nombres pueden ser ligeramente diferentes o parecer genéricos, todos comparten la misma infraestructura. Nuestro objetivo es integrarnos con numerosas herramientas legítimas y permanecer anclados a la barra de tareas el mayor tiempo posible.

Cómo obtienen tus datos

Lo que hace que esta campaña de robo de datos sea particularmente peligrosa es su arquitectura técnica. A diferencia de los virus tradicionales que ejecutan código malicioso en su computadora, estas extensiones no procesan inteligencia artificial localmente. En cambio, abren una ventana dentro de una ventana y cargan el contenido. desde un servidor remoto controlado por el atacante.

Esta tecnología permite a los delincuentes Cambiar el comportamiento de la extensión No es necesario enviar actualizaciones a Google, evitando así los filtros de seguridad de Chrome Web Store. Básicamente, es una puerta trasera abierta.

Una vez dentro, la ampliación alcanza todo su potencial. Utilizando una biblioteca de lectura de códigos, la herramienta comienza a extraer el contenido de los sitios web que visita. objetivo principal Sí Correo. Los investigadores descubrieron scripts específicos diseñados para ejecutarse allí. Estas líneas de código pueden Leer el texto visible de un correo electrónicohilos de conversación completos y acceda al borrador que está escribiendo incluso antes de enviarlo.

Toda esta información sensible, incluidos datos bancarios, contraseñas o información confidencial, e incluso información laboral, se envía al servidor del atacante. Como si el robo de texto no fuera suficiente, el análisis forense de LayerX descubrió una funcionalidad que aprovecha la API de reconocimiento de voz del navegador para que también active el micrófono y envíe una transcripción de lo que se dijo en el entorno del usuario.