Las campañas publicitarias en Facebook e Instagram mueven mucho dinero y datos sensibles. Por eso no sorprende que los ciberdelincuentes las tengan en el punto de mira. El último caso lo ha sacado a la luz Cybereason Security Services, que ha detectado una campaña de extensiones maliciosas en Google Chrome dirigidas específicamente contra anunciantes de Meta.

Los atacantes han creado un falso servicio llamado “Madgicx Plus”, que se presenta como una herramienta de inteligencia artificial para mejorar el rendimiento de los anuncios. La realidad es muy distinta: tras esa fachada se esconde un malware capaz de robar credenciales, secuestrar sesiones y vigilar la actividad online de la víctima.

Este engaño no surge de la nada. Según los investigadores, es una evolución de campañas anteriores documentadas por DomainTools. La clave está en la adaptación constante de los delincuentes: reciclan la infraestructura ya utilizada y la visten con un nuevo cebo que responde a la tendencia del momento, en este caso, la IA.

Ad

Cómo funciona el engaño

Para dar credibilidad al fraude, los atacantes se apoyan en el nombre de Madgicx, una empresa legítima de tecnología publicitaria. Crean webs falsas que imitan su imagen y ofrecen extensiones que supuestamente ayudan a los anunciantes a mejorar sus resultados.

Entre los dominios detectados están:

  • privacy-shield[.]world

  • madgicxads[.]world

  • madgicx-plus[.]com

Todos tienen un aspecto profesional y convincente. Desde ellos se impulsa la instalación de las extensiones maliciosas. Una vez dentro del navegador, el malware comienza a trabajar de forma silenciosa.

Lo más llamativo es que la infraestructura está bien pensada. Los delincuentes han registrado más de 20 dominios y emplean técnicas avanzadas para ahorrar costes y despistar a los investigadores. Por ejemplo, el servidor devuelve contenidos distintos según se acceda a la versión “www” o sin “www” de la misma web, lo que les permite montar campañas temáticas en paralelo.

Un malware con permisos peligrosos

El análisis técnico de las extensiones revela por qué son tan peligrosas. Al instalarlas, piden permisos muy amplios, entre ellos:

  • Acceso a todos los sitios web que visita el usuario.

  • Lectura e inyección de scripts en cualquier página.

  • Modificación del tráfico de red sin que el usuario lo sepa.

En la práctica, esto les da a los atacantes la capacidad de realizar un “man-in-the-browser”, es decir, intervenir directamente en la comunicación entre el usuario y servicios como Facebook, Gmail o cualquier otra plataforma.

Uno de los trucos detectados es la manipulación de los encabezados de origen (Origin headers) en las peticiones. Al eliminarlos, los atacantes consiguen sortear las restricciones CORS y acceder a APIs usando las sesiones activas del usuario. Dicho de otra forma: no necesitan robar la contraseña si pueden aprovechar la sesión abierta para hacerse pasar por él.

Ataque en dos fases

El comportamiento del malware también está pensado para maximizar el daño. Primero, las extensiones animan al usuario a vincular su cuenta de Google. Esa información se almacena localmente y se mantiene incluso si la extensión se desinstala.

Después llega el turno de las cuentas de Facebook. Al pedir que se enlacen, los atacantes obtienen las credenciales y sesiones necesarias para controlar los perfiles publicitarios.

Todo esto se combina con una comunicación constante con un servidor de mando y control alojado en madgicx-plus[.]com, desde donde se pueden dar instrucciones en tiempo real, extraer datos o ampliar el alcance del ataque.

Una infraestructura que se recicla

Los investigadores lograron vincular la campaña a la dirección IP 185.245.104[.]195, gestionada por el proveedor ruso VDSina, que ya había aparecido en otros incidentes de ciberseguridad.

La conclusión es clara: no se trata de ataques aislados, sino de una operación coordinada que va cambiando de apariencia según conviene. Lo que hoy se disfraza de herramienta de IA para anunciantes, ayer pudo ser otra extensión con un cebo diferente, pero la infraestructura subyacente es la misma.

Esta capacidad de reciclar recursos y adaptarse rápidamente es lo que convierte a estos actores en una amenaza persistente y difícil de erradicar.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre