Los piratas informáticos de malware StealC obligan a los usuarios de Chrome a revelar sus contraseñas de Google
NurPhoto a través de Getty Images
Actualizado el 17 de septiembre de 2024: este artículo, publicado originalmente el 15 de septiembre, ahora incluye detalles sobre una amenaza de robo de credenciales dirigida a usuarios de navegadores web.
Una investigación recientemente publicada revela que los actores de amenazas están utilizando una nueva y sofisticada técnica para engañar a los usuarios del navegador Chrome para que revelen las contraseñas de sus cuentas de Google simplemente por frustración. Una campaña de robo de credenciales que utiliza malware llamado StealC bloquea los navegadores de los usuarios en modo quiosco, bloqueando las teclas F11 y ESC para evitar que salgan de este modo de pantalla completa. Según los investigadores, este molesto y aparentemente imposible modo quiosco muestra sólo una ventana de inicio de sesión en la pantalla del navegador y, en la mayoría de los casos, es la ventana de inicio de sesión de su cuenta de Google.
Cómo los piratas informáticos utilizan técnicas nuevas y molestas para robar las contraseñas de su cuenta de Google
Los actores de amenazas utilizan una variedad de métodos para obtener acceso a su valiosa cuenta de Google, las claves de su bandeja de entrada de Gmail y los tesoros de seguridad que contiene, o la frase de contraseña de su billetera de criptomonedas. Recientemente hemos visto malware que utiliza el reconocimiento óptico de caracteres para robar contraseñas de criptomonedas y malware que apunta a códigos de autenticación de dos factores engañando a los usuarios para que les permitan leer sus mensajes SMS. Pero ahora está surgiendo un nuevo jugador: StealC. Utiliza quizás el método más simple y efectivo para acceder a las credenciales de la cuenta de Google: uno que avergüenza seriamente a la víctima.
ForbesGoogle anuncia una nueva función de seguridad del navegador Chrome para bloquear amenazasPor Davey Winder
Los investigadores de Open Analysis Lab revelaron que la campaña de fuga de credenciales ha estado utilizando esta técnica desde al menos el 22 de agosto. En su análisis, los investigadores de OALabs confirmaron que los piratas informáticos engañan a las víctimas para que introduzcan sus credenciales en un navegador y desde allí el malware las roba. “Esta técnica inicia el navegador de la víctima en modo quiosco y la lleva a la página de inicio de sesión del servicio objetivo (generalmente Google)”, dijeron los investigadores. El modo quiosco implementa el navegador en pantalla completa y la víctima no puede abandonar el navegador ni cerrar la aplicación, por lo que los usuarios desafortunados que queden atrapados de esta manera verán una ventana de inicio de sesión de la cuenta de Google. Sólo hay una opción disponible.
La función Flasher de credenciales de cuenta de Google no roba sus credenciales
Curiosamente, los flashers de credenciales en sí mismos no roban credenciales. En cambio, simplemente proporciona la influencia necesaria para lograr que las víctimas frustradas ingresen ellas mismas las credenciales de su cuenta. Una vez ingresado, se implementa un malware común de robo de credenciales (en este caso StealC) para robar contraseñas del almacén de credenciales del navegador Chrome y pasárselas al atacante. De hecho, toda esta campaña sólo es posible utilizando unos pocos elementos conocidos. Principalmente, la herramienta de hacking Amadey, que se utiliza desde hace al menos seis años, carga malware. Los investigadores de OALabs le dan crédito al socio de inteligencia de amenazas Loader Insight Agency por ayudarlos a desarrollar una hoja de ruta de ataque típica.
Las víctimas están infectadas con Amadey. Amadey carga el malware StealC. Amadey carga el flasher de credenciales. Credential Flasher inicia el navegador en modo quiosco. Las víctimas ingresan sus datos de inicio de sesión, que son robados por el malware StealC.
Nuevo ataque TrickMo visto con pantalla de inicio de sesión falsa y capturador de código 2FA
Si la campaña de filtración de credenciales de StealC no fuera suficiente, parece que los usuarios de Chrome están preocupados por otra amenaza de robo de credenciales. Los investigadores del equipo de inteligencia de amenazas del especialista en detección de fraude Cleafy han identificado una nueva variante del conocido troyano bancario TrickMo que se hace pasar por una aplicación de navegador web Google Chrome para Android. Después de instalar esta aplicación maliciosa, las víctimas verán un cuadro de diálogo advirtiéndoles que necesitan actualizar Google Play y un botón de confirmación. En realidad, esto instala otra aplicación llamada Servicios de Google y, sí, lo has adivinado, solicita permisos de usuario. Guíe amablemente a sus usuarios a través del proceso y anímelos a habilitar los servicios de accesibilidad para su aplicación. Cuando está habilitado, los atacantes obtienen los privilegios elevados necesarios para interceptar mensajes SMS y códigos únicos de autenticación de dos factores entregados de esta manera. TrickMo también utiliza ataques de superposición HTML para mostrar lo que parece ser una pantalla de inicio de sesión genuina para capturar las credenciales de la cuenta.
Para evadir la detección por parte de los navegadores y los detectores de malware de los dispositivos, las nuevas variantes de TrickMo utilizan archivos Zip con formato incorrecto, incluida la adición de directorios con los mismos nombres que los archivos críticos del sistema. “Esta sofisticada estrategia de ofuscación podría permitir que la operación de descompresión sobrescriba estos archivos críticos, evitando un análisis posterior”, dijeron los investigadores, y agregaron que las herramientas de análisis automatizadas utilizadas por los ciberdefensores podrían potencialmente sobrescribir estos archivos críticos. Añadió que también sería difícil. investigar el contenido. “Las estructuras ilegales pueden provocar errores y extracciones incompletas, lo que puede complicar significativamente el proceso de análisis”.
Cómo mitigar los ataques en modo quiosco y los ataques TrickMo
Puede parecer una tarea monótona de Sísifo, pero como aconseja Bleeping Computer, es posible salir del modo quiosco sin acceder a las teclas ESC o F11 más comunes del teclado.
ForbesCheck Google Chrome 128 Alerta de seguridad para todos los usuariosPor Davey Winder
Se anima a los usuarios a probar las siguientes combinaciones de teclas de acceso rápido: Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Eliminar y Alt + Tab. Esto le permitirá acceder a su escritorio, iniciar el Administrador de tareas y salir del navegador Chrome. Bleeping Computer también recomienda usar la combinación de la tecla Win + R para abrir el símbolo del sistema de Windows y, desde allí, salir de Chrome con “taskkill /IM chrome.exe /F”.
Finalmente, está la última opción: apagar con el botón de encendido. Si elige esta opción, inicie en Modo seguro usando F8 y escanee todo su sistema para asegurarse de que la infección de malware no regrese.
Cuando se trata de mitigar ataques utilizando las últimas variantes de TrickMo, el consejo es simple y se repite con frecuencia. No descargue software de Android de fuentes distintas a la Play Store oficial.
Cadena de ataque de Windows utilizada para robar contraseñas utilizando dos vulnerabilidades de día cero identificadas
Los usuarios del navegador web Google Chrome no son los únicos que deben estar más atentos este mes. Parece que todos los usuarios de navegadores se enfrentan a una nueva y especialmente peligrosa amenaza de robo de información. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., que se autodenomina la agencia de defensa cibernética del país, ha agregado una vulnerabilidad de día cero de Microsoft Windows en un componente del navegador utilizado para compatibilidad con versiones anteriores a su catálogo de vulnerabilidades conocidas. Según lo exige la Directiva operativa vinculante 22-01, esta directiva obligatoria para el gobierno federal, los poderes ejecutivos, los departamentos y las agencias parchea todas las entradas KEV en un corto período de tiempo. Usted debe actualizar su sistema. Para CVE-2024-43461, son solo tres semanas, con una fecha prevista para el 7 de octubre.
Alerta de fecha límite de seguridad de ForbesMicrosoft Windows: tome medidas antes del 1 de octubre. Escrito por Davey Winder
CVE-2024-43461 se abordó en el último resumen de seguridad de Patch Tuesday de Microsoft, pero se descubrió que había sido explotado por Void Banshee Advanced Persistent Threat Group ya en julio de 2024, lo que resultó en un estado de día cero. La vulnerabilidad en sí se encuentra dentro de un motor de navegador MSHTML llamado Trident que Microsoft utiliza para compatibilidad con versiones anteriores de usuarios de Windows. Técnicamente hablando, CVE-2024-43461 es en realidad parte de una cadena de exploits, combinada con una vulnerabilidad muy similar CVE-2024-38112 que se solucionó en la actualización del martes de parches de julio de 2024. Ambos son fallos en la carga útil de ejecución remota de código arbitrario, la suplantación de identidad de MSHTML.
Al utilizar un archivo de acceso directo a Internet de Windows, un atacante podría hacer clic para invocar el navegador web Internet Explorer, obsoleto y desaparecido hace mucho tiempo. Esto redirige a la víctima a un sitio web o página bajo el control del atacante y comienza a descargar un archivo de aplicación HTML. Cuando un usuario hace clic en él (y de hecho, como la mayoría de estos exploits, hay muchos clics), se ejecuta un script y se instala un malware que roba información llamado Atlantida.
Según los investigadores de Trend Micro Zero Day Initiative, quienes descubrieron por primera vez las cadenas de exploits utilizadas en estos ataques, la vulnerabilidad existe en la forma en que Internet Explorer avisa a los usuarios después de descargar un archivo. “Un nombre de archivo diseñado podría ocultar la extensión real del archivo, engañando al usuario haciéndole creer que el tipo de archivo es benigno. Un atacante podría aprovechar esta vulnerabilidad para”, dijeron los investigadores.
Microsoft ha confirmado que ha retirado Internet Explorer en la mayoría de las plataformas, pero que las plataformas subyacentes MSHTML, EdgeHTML y de secuencias de comandos aún son compatibles. “La plataforma MSHTML se utiliza en modo Internet Explorer en Microsoft Edge y otras aplicaciones a través del control WebBrowser”, dijo Microsoft. Para estar completamente protegido contra amenazas como esta cadena explotada por el grupo Void Banshee, Microsoft exige a los usuarios que instalan actualizaciones “solo de seguridad” para dichas aplicaciones heredadas que instalen la última actualización de IE para esta vulnerabilidad. actualizaciones.
https://www.forbes.com/sites/daveywinder/2024/09/17/hackers-force-chrome-users-to-hand-over-google-passwords-heres-how/
