Se ha descubierto una extensión de VPN Chrome con más de 100,000 instalaciones y un estado de insignia verificado que funciona como un sofisticado spyware, capturando continuamente las capturas de pantalla de los usuarios y exfiltrando datos confidenciales sin consentimiento.
La extensión, conocida como Freevpn.One, se disfrazó de una herramienta de privacidad legítima al implementar en secreto capacidades de vigilancia integrales que contradicen directamente sus promesas de privacidad declaradas.
Freevpn.one – Spy Spywware, destacado, verificado y SpyS (fuente – Koi.security)
La extensión maliciosa ganó prominencia a través de la tienda web Chrome de Google, logrando la ubicación destacada y el estado verificado a pesar de implementar la funcionalidad de puerta trasera que captura capturas de pantalla de cada visita de la página web que visitan.
Operando bajo el pretexto de proporcionar protección de la privacidad, la extensión emplea una arquitectura engañosa de dos etapas que monitorea silenciosamente la actividad del usuario en todas las sesiones de navegación, capturando información confidencial, incluidas las credenciales bancarias, las comunicaciones personales y los documentos privados.
Imágenes privadas enviadas al backend del spyware (fuente – Koi.security)
Analistas de seguridad anotado que la evolución de la extensión del servicio VPN legítimo al spyware ocurrió a través de una serie de actualizaciones calculadas a partir de abril de 2025, cuando los desarrolladores introdujeron amplios permisos que permitieron capacidades integrales de recopilación de datos.
Devtools que muestra la pestaña de hojas de Google capturadas con datos confidenciales (fuente – Koi.security)
Los investigadores de seguridad identificaron la transformación como particularmente preocupante, dado el estado verificado de la extensión y la adopción generalizada entre los usuarios conscientes de la privacidad.
La campaña de vigilancia impacta a los usuarios a nivel mundial, con capturas de pantalla capturadas que contienen datos corporativos confidenciales, información financiera y comunicaciones personales que se transmiten a servidores remotos controlados por los actores de amenazas.
La posición privilegiada de la extensión dentro de los navegadores de los usuarios permite un acceso sin restricciones a toda la actividad de navegación, creando una operación integral de recolección de inteligencia que opera por completo sin conocimiento o consentimiento del usuario.
Mecanismos de implementación técnica y evasión
La extensión implementa sus capacidades de vigilancia a través de un sofisticado sistema de inyección de script de contenido que implementa automáticamente en todos los sitios web HTTP y HTTPS utilizando las coincidencias amplias: (“http: //*/*”, “https: //*/*”) patrón.
Tras la inicialización de la carga de la página, el código malicioso ejecuta un mecanismo de retraso cronometrado con precisión:-
setTimeOut (() => {chrome.runtime.sendMessage ({Action: ‘CaptureViewPort’});}, 1100);
Este código espera exactamente 1.1 segundos después de la inicialización de la página antes de activar la captura de captura de pantalla, asegurando la representación completa de la página para obtener la máxima calidad de datos.
‘Escanear con AI’ Haga clic en Redirección a AITD (.) Un sitio (fuente – Koi.security)
El trabajador del servicio de fondo recibe el mensaje CaptureViewport y ejecuta la captura de captura de pantalla real utilizando la API privilegiada de Chrome.tabs.captureVisibletab (), transmitiendo automáticamente imágenes capturadas a AITD (.) One/Brange.php junto con URL de página, identificadores de pestañas y códigos de seguimiento de usuarios únicos.
Las versiones recientes implementan el cifrado AES-256-GCM con el envoltorio de clave RSA para ofuscar la transmisión de datos, lo que hace que la detección basada en la red sea significativamente más desafiante.
La capa de cifrado enmascara la exfiltración continua de captura de pantalla mientras mantiene las capacidades de vigilancia de la extensión, lo que demuestra el compromiso de los actores de amenaza de persistencia y evasión de detección.
La estructura de permiso de la extensión requiere, pestañas y permisos de secuencias de comandos, creando un marco integral de vigilancia que se extiende mucho más allá de los requisitos de funcionalidad VPN legítimos y permite el monitoreo completo de la actividad del usuario.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
