- ESET identifica JS/Spy.Banker.CV, una extensión de Chrome que roba datos bancarios y desvía fondos.
- Propagación por correos con adjuntos comprimidos que simulan ser de entidades financieras, especialmente en México.
- Manipula el DOM para mostrar formularios falsos y sustituye direcciones de pago, incluidas billeteras de criptomonedas.
- Incluye IoC y dominios C2 y recomendaciones para usuarios en España y Europa.
Una investigación de ESET ha destapado una extensión maliciosa para Google Chrome que se hace pasar por herramienta de seguridad, pero en realidad intercepta información sensible y facilita el desvío de dinero. Aunque el foco inicial está en América Latina, la técnica no entiende de fronteras y puede replicarse en otros mercados.
El código, detectado como JS/Spy.Banker.CV, opera sobre Windows y apunta a usuarios que acceden a banca en línea. Cuando la víctima entra en una web financiera, el malware altera la página de forma invisible para plantar formularios y datos falsos con los que robar credenciales y manipular transferencias.
Qué se ha detectado y a quién afecta
Según el laboratorio de ESET Latinoamérica, la amenaza se presenta como una extensión de seguridad para Chrome, pero su objetivo real es robar datos de acceso, correos, teléfonos y otra información introducida en formularios. La extensión incorpora dos componentes JavaScript con funciones diferenciadas: uno manipula la interfaz de sitios financieros y otro recolecta datos y los envía a servidores externos.
Durante el análisis, se observaron referencias y textos en portugués dentro del código, lo que sugiere una campaña con alcance regional y con capacidad de adaptación a diferentes portales de pago y banca. Esta pieza de malware persiste en el navegador afectado y se ejecuta cada vez que el usuario abre Chrome, manteniendo viva la comunicación con servidores de mando y control.
La persistencia se ha visto en rutas de usuario como C:\\Users\\<NOMBRE_USUARIO>\\Chrome\\1.9.6, lo que facilita que el código malicioso vuelva a cargar en cada sesión del navegador sin intervención del usuario.
Las conexiones de red se dirigen a infraestructura controlada por los atacantes, con dominios de C2 como appsalve.click y dracolateama.info, utilizados tanto para exfiltrar datos como para descargar instrucciones de modificación visual.
Cómo se propaga y cuál es su alcance
La distribución observada se concentra en México mediante correos electrónicos que simulan comunicación de bancos y servicios de pago reconocidos. En esos mensajes se adjuntan archivos comprimidos con la extensión fraudulenta o con instaladores que llevan a su despliegue en Chrome.
El uso de recursos gráficos y lenguaje corporativo aumenta la credibilidad de los señuelos, un patrón clásico en el fraude financiero por correo. Los atacantes buscan que la víctima instale el complemento creyendo que mejora su seguridad o resuelve una supuesta incidencia de la cuenta.
Aunque la campaña descrita tenga epicentro en Latinoamérica, su lógica es reutilizable en otras regiones. En Europa y España, este vector es igualmente viable: basta con adaptar la plantilla de phishing a bancos locales y empaquetar la extensión con nombres plausibles para el usuario medio.
Por ello, conviene no bajar la guardia: los bancos no distribuyen extensiones por correo, ni piden instalar add-ons para “verificar” cuentas. Si llega un mensaje así, lo razonable es descartarlo y contactar con la entidad por canales oficiales.
Qué hace la extensión: manipulación del DOM y robo de datos
Al detectar patrones propios de la banca online (términos como «CPF», «CNPJ» o «valor» en los contenidos), el componente visual altera el Document Object Model (DOM) para cambiar textos, campos y etiquetas, e incluso para inyectar formularios falsos que capturan información sensible con apariencia legítima.
Otra función se centra en sustituir números de cuenta y direcciones de criptomonedas por otras controladas por los atacantes. Así, una transferencia aparentemente normal puede acabar desviándose a una cuenta fraudulenta sin que el usuario lo advierta a simple vista.
El módulo de recolección recorre formularios, identifica campos de contraseña, correo y teléfono, y engancha el envío (submit) para extraer los valores antes de que lleguen al servidor real. Posteriormente, exfiltra esos datos vía peticiones POST a los dominios de C2 citados.
Entre los indicadores de compromiso asociados se incluyen una dirección de Bitcoin (bc1q53usjwlwwpt40mwqtzldxj69gs8qsqsqfz49at) usada como destino de reemplazo, un identificador fijo de exfiltración (123461125631441562314) y variantes de archivos como GJJeSS.js (relacionado con JS/Spy.Banker.CU) y whvLon.js (asociado a JS/Spy.Banker.CV), con firmas SHA1 reportadas durante el análisis.
Persistencia, ofuscación y técnicas utilizadas
El código aplica ofuscación de cadenas, construcción dinámica de comandos con arrays/funciones indexadas y ejecución diferida para complicar la inspección y evadir detecciones. Esta combinación dificulta el análisis estático y retrasa la respuesta defensiva.
Además, la extensión se reinyecta sobre cambios del DOM (como recargas parciales o navegación dinámica), manteniendo eventos maliciosos activos mientras dure la sesión. En la práctica, la víctima sigue interactuando con una web aparentemente legítima que el malware va alterando sobre la marcha.
- Phishing (T1566): correos señuelo con adjuntos/enlaces que simulan provenir de bancos.
- Masquerading (T1036): la extensión se hace pasar por herramienta de seguridad.
- Obfuscated/Deobfuscated (T1027/T1140): técnicas para ocultar y reconstruir código.
- Credential Access: interceptación de formularios y robo de credenciales en la web.
Este conjunto encaja con campañas orientadas al beneficio económico, donde la prioridad es operar de forma silenciosa, captar credenciales y modificar datos de pago en el momento crítico de la transacción.
Cómo protegerse en España y Europa: medidas prácticas e IoC
- Revisa las extensiones de Chrome y elimina cualquier complemento desconocido o que prometa “seguridad” sin respaldo.
- Instala extensiones solo desde fuentes oficiales y desconfía de adjuntos comprimidos enviados por “tu banco”.
- Mantén navegador y antivirus actualizados y activa la autenticación en dos pasos en banca y pagos.
- En empresas, aplica listas de extensiones permitidas, filtra dominios C2 y monitoriza exfiltraciones HTTP/HTTPS y la configuración de cuentas de usuario.
Indicadores a vigilar: appsalve.click y dracolateama.info como dominios C2; dirección BTC mencionada arriba; y presencia de artefactos como GJJeSS.js/whvLon.js con sus respectivas huellas. Integrar estos IoC en tus controles ayuda a bloquear actividad maliciosa de la familia identificada como JS/Spy.Banker.
Para los usuarios españoles, si sospechas manipulación en una página bancaria (textos cambiados, campos inusuales o solicitudes de datos atípicos), detén la operación, cierra sesión y contacta con tu entidad por vías oficiales; más vale prevenir que lamentar cuando hay fondos en juego.
Esta campaña demuestra que una simple extensión de navegador puede convertirse en una puerta de entrada al fraude financiero: desde correos de phishing hasta la alteración del DOM y la exfiltración de credenciales, todo encaja para desviar dinero sin levantar sospechas. Permanecer atento a las extensiones instaladas, comprobar la legitimidad de los correos y reforzar la seguridad del navegador son pasos clave para reducir el riesgo tanto en Latinoamérica como en Europa.