La sofisticada tecnología de robo de calificación identificada como T1555.003 en el marco Mitre ATT & CK ha surgido como una gran amenaza para las organizaciones de todo el mundo.
Esta técnica permite al enemigo extraer nombres de usuario y contraseñas directamente de un navegador web. Esto le permite almacenar estas credenciales para optimizar los inicios de sesión del usuario y mejorar la conveniencia.
Como resultado, los atacantes pueden obtener acceso no autorizado tanto a las personas como a las cuentas empresariales, aumentando el riesgo de escalada de privilegios y movimiento lateral dentro de la red objetivo.
Los atacantes roban contraseñas de los navegadores web
La técnica T1555.003 utiliza las características de conveniencia de los navegadores modernos que almacenan credenciales de inicio de sesión.
Investigaciones recientes muestran que los navegadores web generalmente almacenan estas credenciales en un formato cifrado dentro de una tienda de credenciales, pero los actores de amenaza han desarrollado una forma de extraerlas en texto plano.
En los sistemas de Windows, al dirigirse a un archivo de base de datos ubicado en AppData \ Local \ Google \ Chrome \ Chrome \ User \ User \ Datos de inicio de sesión, el atacante accede a las credenciales cifradas de Google Chrome y ejecuta consultas SQL.
Los datos cifrados se descifran utilizando la función API de Windows CryptProtectData, que utiliza las credenciales de inicio de sesión en caché de la víctima como claves de descifrado.
Existen vulnerabilidades similares en otros navegadores populares, como Firefox, Edge y Safari. Si estas credenciales se superponen con la cuenta administrada, el impacto es severo ya que las credenciales de navegador comprometidas a menudo conducen a una escalada de privilegios.
Los actores de amenaza están explotando activamente las vulnerabilidades
Los datos de telemetría de seguridad muestran que siete grupos APT principales están implementando activamente esta técnica.
“Desde principios de 2025, ha habido un aumento significativo en las operaciones de robo de certificación del navegador”, explica el investigador de ciberseguridad Stephen Lim.
“Los resultados de las consultas que se muestran en el tablero de inteligencia de amenazas reflejan más de 6,000 métricas activas asociadas con esta técnica”.
La amenaza más notable es el agente Tesla. El agente Tesla es un spyware que le permite recopilar capturas de pantalla y datos de portapapeles mientras se recolecta credenciales de múltiples navegadores.
Otro actor sobre otro actor es APT41, un grupo de amenazas cibernéticas chinas que lleva a cabo el espionaje patrocinado por el estado y las operaciones motivadas financieramente.
Otros actores que explotan la vulnerabilidad incluyen el equipo de seguridad AJAX relacionado con iraní, el APT3 con sede en China, el ejército iraní APT33, el grupo norcoreano APT37 y el APT42 relacionado con el IRGC iraní.
Los analistas de seguridad han identificado una serie de observabilidad relacionadas con el ataque. Los más comunes son:
Un archivo hash con una firma de SHA-256 muestra SHA-1 con 3.729 indicadores y 256 indicadores. MD5 Hashs en 859 casos con 75% de confiabilidad y 68 casos con una fiabilidad del 83%. Los indicadores de URL y dominio muestran 584 y 170 partidos, respectivamente. Referencia de fuente de tráfico de red con 154 indicadores.
Para detectar estos ataques, las organizaciones deben monitorear los patrones de acceso de archivos con sus tiendas de credenciales de navegador. Las herramientas de seguridad pueden generar registros de ID de eventos 4663 cuando un proceso no autorizado intenta acceder a archivos del navegador como el estado local o los datos de inicio de sesión.
Los expertos recomiendan implementar la autenticación multifactor, cambiar las contraseñas regularmente y restringir el acceso privilegiado.
Para los equipos técnicos, la detección se puede mejorar al monitorear el acceso del sistema de archivos al almacén de credenciales del navegador utilizando herramientas como las reglas Sigma.
Las organizaciones también deben considerar la implementación de soluciones de gestión de calificación modernas que proporcionan capas adicionales de protección más allá de lo que los navegadores proporcionan de forma nativa.
A medida que esta amenaza continúa evolucionando, los expertos en seguridad deben permanecer atentos. Con más de 6,000 métricas de amenazas activas que fluyen actualmente, el riesgo de un compromiso de credencial a través del mecanismo de almacenamiento del navegador sigue siendo extremadamente alto.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
