Múltiples familias de malware que roban información han desarrollado nuevas técnicas para eludir la función de seguridad de cifrado de enlace de aplicaciones de Google Chrome introducida en julio de 2024 para proteger las cookies almacenadas y los datos del usuario.
Esta medida de seguridad avanzada, el cifrado vinculado a aplicaciones, se introdujo en la versión 127 de Chrome en julio de 2024 para mejorar la seguridad de las cookies almacenadas en los sistemas Windows.
El cifrado vinculado a aplicaciones se diseñó para abordar vulnerabilidades en el método de cifrado anterior de la API de protección de datos de Windows (DPAPI). Sin embargo, los desarrolladores de malware se adaptaron y desarrollaron rápidamente nuevas técnicas de derivación para mantener la capacidad de robar datos confidenciales de los usuarios.
Elastic Security Labs ha observado que varias familias de malware notorias, incluidas STEALC/VIDAR, METASTEALER, PHEMEDRONE, XENOSTEALER y LUMMA, implementan sofisticadas técnicas de derivación para continuar robando datos confidenciales del navegador.
Estrategias para proteger su sitio web y API de ataques de malware -> Webinar gratuito
Estas variantes de malware utilizan una variedad de técnicas, incluida la depuración remota, la lectura de la memoria de los procesos de Chrome y la manipulación de tokens del sistema.
Malware ladrón de información
El robo de alto perfil elude la protección de cookies
STEALC/VIDAR integra componentes de la herramienta de seguridad ofensiva ChromeKatz, que le permite escanear y finalizar los procesos de Chrome antes de extraer valores de cookies no cifrados de la memoria del navegador.
METASTEALER adopta un enfoque diferente al hacerse pasar por el token del SISTEMA y aprovechar el servicio de elevación de Chrome a través de la interfaz COM para descifrar datos protegidos. A pesar de las afirmaciones de que funciona sin privilegios de administrador, las pruebas revelaron que se requería acceso elevado.
PHEMEDRONE aprovecha las capacidades de depuración remota de Chrome y establece una conexión a través del protocolo DevTools del navegador para extraer cookies. Este malware funciona sigilosamente colocando la ventana de Chrome fuera de la pantalla para evitar ser detectado.
La aparición de estas técnicas de derivación representa un desafío importante para la seguridad del navegador. El cifrado vinculado a aplicaciones de Google logró obligar a los autores de malware a adoptar técnicas más sofisticadas y detectables, pero no detuvo completamente la amenaza, según el informe.
Los expertos en seguridad recomiendan monitorear algunos comportamientos sospechosos.
Procesos inusuales que acceden a las cookies del navegador Terminación de múltiples procesos de Chrome y posterior activación de servicios elevados Depuración de navegadores a partir de procesos principales inesperados Ejecutables sin firmar que se ejecutan desde la carpeta de la aplicación Chrome.
La comunidad de seguridad está siguiendo activamente estos acontecimientos. Los investigadores señalan que, si bien estas nuevas técnicas pueden tener éxito, generan patrones más detectables de los que las herramientas de seguridad pueden identificar.
Se alienta a las organizaciones a mantener equipos sólidos de seguridad y monitoreo de endpoints para detectar estas amenazas en evolución.
La batalla en curso entre las medidas de seguridad y los desarrolladores de malware resalta la necesidad de una innovación continua en la seguridad de los navegadores.
Aunque los mecanismos de protección de Google elevan el listón para los atacantes, la rápida adaptación de las familias de malware indica la naturaleza persistente de este desafío de seguridad.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
