Google Chrome, conocido por sus sólidas funciones de seguridad, se enfrenta ahora a una nueva amenaza del desarrollador de malware Infostealer. Estos actores maliciosos afirman haber descubierto una forma de evitar el cifrado vinculado a aplicaciones, la última característica de seguridad de Chrome introducida en la versión 127 de Chrome. Esta función está diseñada para proteger datos confidenciales del usuario, como cookies y contraseñas, y utiliza un servicio de Windows con privilegios del sistema para cifrar la información.
El malware Infostealer evade las defensas de Chrome
Los creadores del malware Infostealer, conocido por atacar datos almacenados en los navegadores, están evolucionando rápidamente. Recientemente, varios desarrolladores anunciaron que habían eludido con éxito el nuevo sistema de cifrado de Chrome. Las herramientas afectadas incluyen MeduzaStealer, WhiteSnake, Lumma Stealer y Vidar Stealer. Se dice que estos programas maliciosos pueden robar cookies y otros datos confidenciales de Chrome sin requerir acceso a nivel del sistema.
Los investigadores de seguridad g0njxa y RussianPanda9xx confirmaron que al menos algunas de estas afirmaciones son válidas. Por ejemplo, g0njxa confirmó que las últimas versiones de Lumma Stealer y WhiteSnake pudieron eludir las funciones de cifrado en la última versión del navegador, Chrome 129. Los investigadores realizaron pruebas en sistemas Windows 10 Pro en un entorno sandbox para analizar el comportamiento del malware.
El investigador g0njxa probó una variante de Lumma Stealer en un entorno controlado y descubrió que evita las funciones de cifrado de Chrome 129. Esta es una amenaza seria. Se suponía que el cifrado de Chrome protegería las credenciales de los usuarios incluso del malware que se ejecuta en el mismo sistema.
Según una publicación de RussianPanda9xx, MeduzaStealer ha publicado una versión de prueba que, según afirma, puede evitar el cifrado de Chrome 127. Otras herramientas, como Lumma Stealer, han seguido su ejemplo, y algunos desarrolladores de malware dicen que las versiones actualizadas ahora pueden extraer cookies de la última versión del navegador, Chrome 129.
La técnica de omisión utilizada por el malware Infostealer manipula la seguridad de Chrome sin activar alertas del sistema. Anteriormente, el malware requería privilegios de administrador o inyección de código para robar datos. Estas acciones a menudo resultaron en advertencias del software antivirus, pero los avances recientes de desarrolladores de malware como Lumma Stealer ya no requieren privilegios administrativos. Este cambio reduce el riesgo de detección y hace que el malware sea más peligroso.
Una amenaza continua para los usuarios de Chrome
El cifrado App-Bound de Google estaba destinado a evitar que el malware Infostealer accediera a datos confidenciales, pero los piratas informáticos se adaptaron rápidamente. Los desarrolladores de malware afirman haber descifrado el cifrado en tan sólo unos minutos. No se han revelado detalles sobre cómo evitar el cifrado, pero esto plantea un desafío importante para el equipo de seguridad de Google.
Las defensas de Chrome contra el malware Infostealer se han probado más exhaustivamente a medida que más desarrolladores de malware implementan métodos de derivación similares. Según se informa, herramientas como Vidar Stealer y StealC también han integrado desvíos durante la última semana, lo que continúa planteando riesgos para la seguridad en línea de los usuarios en el mundo de la tecnología.
New threats to Chrome’s security: Infostealer malware breaches defenses
