Alarma por nuevo peligro latente con Google Chrome: exponen cómo error común puede acabar muy mal

Este mecanismo de ciberataque se propaga en la región, principalmente por México, mediante archivos adjuntos comprimidos en correos electrónicos.

Aparte de la dura competencia que se le avecina a Google Chrome, otra complicación adicional surgió para que miles de usuarios estén más que pendientes a nivel internacional.

Lo cierto es que esto no solo es clave para Colombia sino para América Latina, debido al anuncio del laboratorio de investigación de Eset Latinoamérica, compañía experta en detección proactiva de amenazas.

¿Cuál es el nuevo riesgo de ciberataque que surgió en Google Chrome?

Eset identificó un código malicioso que afecta a los sistemas operativos Windows y se hace pasar por una extensión de seguridad para Google Chrome. Es detectado por las soluciones de Eset como JS/Spy.Banker.CV y se trata de un ‘infostealer’ con capacidades de robar información sensible.

Este ‘malware’ se propaga en la región, principalmente por México, mediante archivos adjuntos comprimidos en correos electrónicos que aparentar ser de instituciones financieras reconocidas.

En su código se observan palabras nombres de variables y reemplazos en portugués, lo que evidencia que este tipo de amenazas trascienden fronteras.

Esta amenaza tiene la capacidad de modificar visualmente de detectar cuando el usuario se encuentra en una página financiera, hallando patrones comunes en este tipo de sitios.

Cuando lo hace, puede modificar el DOM (Document Object Model) cambiando cómo se ve y funciona la página, sin que el usuario lo note. De esta forma, presenta formularios apócrifos con la apariencia real. Toda información ingresada en esos formularios es desviada a un servidor controlado por los cibercriminales.

Además, este ‘malware’ tiene la capacidad de sustituir datos de billeteras de criptomonedas y bancarios del usuario por los de los cibercriminales, lo que habilitaría el desvío de fondos hacia los atacantes.

“Estamos ante un ‘infostealer’ que posee capacidades para robar información sensible de una víctima cuando completa un formulario en una página de internet. Con capacidad de modificar la ‘wallet’ y otros datos de pagos de la víctima, es una clara demostración de los cibercriminales buscan un rédito financiero. Esta amenaza trasciende fronteras y aprovecha la reputación de instituciones financieras en toda la región”, afirmó Mario Micucci, Investigador de Seguridad Informática de Eset Latinoamérica.

¿Cómo ejecutan los robos de información a través de Google Chrome?

Durante la etapa de análisis, el equipo de Eset observó que esta muestra de ‘malware’ que se hace pasar por una extensión de seguridad para Google Chrome se propaga sobre México, principalmente, mediante archivos adjuntos comprimidos enviados por correo electrónico (engaño que provoca un error muy común).

También halló dentro de la extensión maliciosa dos archivos JavaScript con capacidades para robar datos sensibles, manipular visualmente sitios web y exfiltrar información a servidores de Comando y Control (C2).

Al analizar el archivo se identifica una manipulación visual de sitios bancarios. Eset encontró patrones comunes en páginas relacionadas con bancos o pagos, como “CPF”, “CNPJ”, “valor”, que modifican el DOM para engañar al usuario. Esto incluye el reemplazo de datos reales por datos controlados por los atacantes.

Por ejemplo, se ejecuta sobre el contenido del <body> de la página buscando patrones de texto relacionados con depósitos bancarios “epósito”, “CPF”, “Valor”). Si detecta que la página contiene términos como “depósito”, “CPF/CNPJ” y “alor” (probablemente parte de “Valor”), procede a inyectar lógica maliciosa.

“Durante el análisis notamos que la extensión maliciosa de Internet Google Chrome, persiste en la maquina víctima. Las muestras que contienen la extensión operan de manera sincronizada. Mientras una recolecta datos sensibles, la otra manipula el entorno visual del usuario para inducir a errores o desviar transferencias. Todas las interacciones son canalizadas a dominios maliciosos comunes. Es importante mencionar que esta persistencia actúa sobre el navegador afectado, puntualmente el malware se va a ejecutar cada vez que el mismo este en uso por la víctima”, explicó Micucci de Eset Latinoamérica.

El uso de capacidades avanzadas de manipulación visual, dirigidas principalmente a usuarios en entornos financieros, así como su arquitectura modular y las técnicas de evasión obligan a implementar medidas específicas para lograr su detección.

Desde Eset recuerdan que es muy importante verificar las extensiones instaladas en los sistemas y también que las fuentes sean confiables antes de instalar cualquier aplicación.