La amenaza aprovecha la Chrome Web Store y Telegram para exfiltrar credenciales sin necesidad de contraseñas.
Una investigación reciente reveló la existencia de una extensión maliciosa de Chrome diseñada para robar claves API de MEXC, uno de los exchanges de criptomonedas centralizados más utilizados a nivel global. La extensión, aún disponible al momento del reporte, simula ser una herramienta legítima para conectar bots de trading a la plataforma.
Una vez instalada, la extensión inyecta un script en la página de gestión de APIs de MEXC cuando detecta una sesión autenticada del usuario. Este script genera automáticamente una nueva clave API con permisos de retiro activados, mientras oculta esta configuración en la interfaz para evitar sospechas.
Tras completar el proceso, la extensión extrae la clave API y el secreto asociado, enviándolos a un bot de Telegram controlado por los atacantes. Con estas credenciales, los cibercriminales pueden operar libremente sobre la cuenta comprometida y retirar fondos sin restricciones.
Los especialistas destacan que el ataque no requiere robar contraseñas ni eludir mecanismos de autenticación, ya que explota flujos legítimos dentro del navegador. Esta técnica representa una amenaza seria para exchanges, plataformas DeFi y cualquier servicio web que genere tokens de acceso dentro de sesiones activas.
Fuente
Ciberprisma - alianza por la ciberseguridad 