El nuevo malware de Google Chrome con carga útil disimulada roba credenciales de usuario

el malware roba credenciales de Chrome Las compañías de ciberseguridad están escaneando continuamente el entorno en línea para encontrar nuevas amenazas de malware que puedan poner en riesgo la privacidad del usuario y comprender los vectores de distribución típicos a través de los cuales se llevan a cabo tales ataques. Recientemente, los investigadores han encontrado una nueva pieza de malware que se parece mucho a otras credenciales ya conocidas que roban amenazas. Sin embargo, la muestra analizada parece única, no solo porque apunta específicamente al navegador Google Chrome, a diferencia de otras amenazas conocidas que apuntan a todos los navegadores de Internet populares, sino también por la tecnología que utiliza. Esta nueva amenaza no se ofusca y, en teoría, debería bloquearse con soluciones antimalware. Sin embargo, el software antivirus ni siquiera lo detecta en la mayoría de los casos, lo cual es bastante desconcertante para los analistas de malware.

La infección con esta nueva herramienta de recolección de credenciales ocurre con la ayuda de un cuentagotas básico . Ese cuentagotas crea una carpeta \ temp en la ruta actual, que tiene un tamaño de aproximadamente 6 MB y que se convierte en la carpeta principal del malware. En esta nueva carpeta, el dropper crea un script simple llamado "death.bat" que elimina el directorio / temp. Luego, el cuentagotas crea otros seis archivos en la carpeta principal que consta de cinco archivos DLL y un binario llamado "virus.exe" que parece estar usando cURL. Los investigadores señalan que no hay muchas otras amenazas de malware que usan cURL, lo que hace que la nueva amenaza sea realmente interesante. Además, los nombres de los archivos del malware son claros y no utilizan ofuscación ni cifrado. Después de llenar la carpeta principal, el malware ejecuta el binario "virus.exe", mientras que el script por lotes que elimina todos los rastros del malware se ejecuta cinco segundos después. A continuación, aparece un cuadro de mensaje con un mensaje de error genérico, como parece, simplemente para engañar al usuario.

El análisis de la carga útil principal del malware revela que es una amenaza real para la privacidad del usuario. Google Chrome almacena no solo nombres de usuario y contraseñas, sino también datos de tarjetas de crédito. Un usuario normal no necesita privilegios de administrador para acceder al archivo Chrome en el que el navegador almacena las credenciales, lo que a su vez significa que el malware no necesita una herramienta de elevación de privilegios para acceder a ese archivo. Las credenciales de Chrome se almacenan en un archivo SQLite DB. Para evitar el mecanismo de protección del navegador, el malware solo mata ciertos procesos de Chrome, luego abre el archivo DB, realiza varias consultas SQL y lee la información contenida en el archivo. Después de eso, los datos se guardan y se envían al formulario de Google del malware a través de cURL. En ese caso, los atacantes utilizan indebidamente la aplicación gratuita basada en la web Google Forms para recopilar y almacenar datos robados.

Según su flujo operativo, esta nueva amenaza no se puede identificar como miembro de ninguna familia de malware conocida que robe las credenciales de Chrome. Es muy inteligente, silencioso y rápido, no crea ningún archivo en el disco, no cambia el registro y, en general, no causa ningún daño a la computadora infectada. Por otro lado, es difícil de atrapar ya que usa cURL y Google Forms, y es, en cualquier caso, una seria amenaza para la privacidad del usuario, ya que recopila datos confidenciales como contraseñas y números de tarjetas de crédito.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".