El Laboratorio de investigación de ESET Latinoamérica identificó un nuevo código malicioso que afecta a los sistemas operativos Windows y se distribuye principalmente en México.
Se trata de un troyano bancario que se disfraza de una extensión de seguridad para Google Chrome, diseñado específicamente para robar tu información financiera.
Este malware, detectado por las soluciones de ESET como JS/Spy.Banker.CV, llega a las computadoras a través de archivos adjuntos comprimidos en correos electrónicos. Estos mensajes suelen suplantar la identidad de instituciones financieras reconocidas para engañarte y lograr que instales la falsa herramienta.
Una falsa herramienta de seguridad para Chrome
La principal característica de esta amenaza es su método de engaño, ya que se instala en el navegador como una supuesta extensión de seguridad. Una vez dentro, su verdadero propósito es monitorear tu actividad de navegación a la espera de que accedas a un sitio web bancario o de servicios financieros.
Aunque la campaña se concentra en México, los analistas de ESET encontraron que el código contiene variables y comentarios en portugués.
Esto demuestra que este tipo de ataques trascienden fronteras y son adaptados para operar en diferentes regiones de Latinoamérica.
Manipulación visual y robo de datos
La capacidad más peligrosa de este malware es modificar el Modelo de Objetos del Documento (DOM) de las páginas web que visitas.
En términos sencillos, puede alterar la apariencia y el funcionamiento de un sitio legítimo sin que tú puedas percibir la diferencia, presentando formularios falsos con la apariencia real.
Toda la información que ingresas en estos formularios es desviada directamente a un servidor controlado por los ciberdelincuentes. Las capacidades específicas de este troyano bancario incluyen:
- Detectar patrones de texto en la página, como “depósito”, “CPF” o “valor”, para activar la inyección de código malicioso.
- Presentar formularios apócrifos para robar credenciales de acceso, contraseñas y números de tarjeta.
- Sustituir direcciones de billeteras de criptomonedas y datos de cuentas bancarias por las de los atacantes para desviar fondos.
Persistencia de la amenaza en el navegador
A diferencia de otros tipos de malware, esta extensión maliciosa persiste en la máquina de la víctima de una forma particular. La amenaza no se ejecuta constantemente en segundo plano, sino que se activa cada vez que abres el navegador Google Chrome afectado.
Esta sincronización asegura que el malware esté operativo precisamente cuando es más peligroso: mientras navegas por internet. Cada sesión se convierte en una oportunidad para que los atacantes recolecten tus datos sensibles y manipulen el entorno visual para inducirte a cometer errores.
El navegador como puerta de entrada a tus finanzas
Este tipo de ataque demuestra que una extensión de navegador comprometida es suficiente para vulnerar tu seguridad financiera por completo. La confianza depositada en estas pequeñas herramientas puede ser explotada para interceptar y robar la información más crítica que manejas en línea.
La recomendación de los expertos es verificar siempre la autenticidad y la fuente de cualquier extensión antes de instalarla. Revisa los permisos que solicita y desconfía de aquellas que requieran acceso a todos los datos de los sitios web que visitas.
