Malware roba cookies de sesión de Chrome para secuestrar cuentas
Publicado el
Introducción
Recientemente, se ha detectado un malware que utiliza técnicas sofisticadas para robar cookies de sesión de Chrome, lo que permite a los atacantes secuestrar cuentas de usuario. Este ataque se lleva a cabo mediante una extensión maliciosa que se instala tras abrir un archivo adjunto en un correo electrónico.
Cómo funciona el ataque
El proceso comienza con un correo que contiene un adjunto disfrazado de PDF. Este archivo, que tiene una extensión engañosa .pfd.js, es en realidad un script de JavaScript ofuscado. Al ejecutarse, despliega otros archivos en una carpeta temporal y activa la cadena de infección.
Una vez que el malware está en funcionamiento, un script de PowerShell configura una extensión de Chrome y modifica la política de Chrome para permitir su instalación. Esto da la impresión de que se trata de una implementación controlada por un administrador, en lugar de una instalación normal de extensión.
Recolección de datos
Una vez que la extensión maliciosa está activa, comienza a recopilar información sensible, como cookies de navegador, pestañas abiertas, URLs visitadas, configuraciones de idioma y datos de huellas digitales. Además, los atacantes utilizan este acceso como un canal de comando remoto, lo que les permite enviar instrucciones que pueden ejecutar PowerShell y explorar el contenido del disco C:.
El verdadero peligro radica en que, con las cookies de sesión robadas, los atacantes no solo obtienen contraseñas, sino que pueden acceder a cuentas ya autenticadas en el navegador de la víctima, eludiendo así la autenticación multifactor (MFA).
Abuso de Chrome Native Messaging
El ataque destaca por su abuso de la funcionalidad de Chrome Native Messaging, que permite a las extensiones comunicarse con un anfitrión nativo registrado. Los atacantes han explotado esta característica legítima para convertir la extensión en un controlador de ejecución de código local. En lugar de lanzar PowerShell directamente, la extensión envía mensajes al anfitrión nativo, que luego ejecuta o interactúa con PowerShell en el sistema.
Medidas de protección
Para protegerse contra este tipo de ataques, se recomienda:
- Evitar abrir adjuntos de correo electrónico a menos que se haya verificado la identidad del remitente. - Comprobar la extensión real del archivo en lugar de confiar en el nombre mostrado. - Utilizar una solución de anti-malware actualizada y en tiempo real para detectar y bloquear actividades maliciosas. - Revisar las extensiones de Chrome instaladas y eliminar aquellas que no se reconozcan o que ya no se utilicen. - Para mayor precaución, cerrar sesión en cuentas importantes al finalizar su uso, invalidando así la sesión y evitando que un atacante pueda utilizar una cookie de sesión robada. - Comprobar regularmente el historial de inicio de sesión en cuentas críticas, ya que muchos servicios online permiten ver qué dispositivos han iniciado sesión, cuándo y desde dónde.
Conclusión
La proliferación de este tipo de malware subraya la importancia de ser cauteloso con los correos electrónicos y los archivos adjuntos. La combinación de ingeniería social y técnicas avanzadas de malware representa una amenaza significativa para la seguridad de las cuentas de usuario. Mantenerse informado y adoptar medidas de seguridad proactivas es fundamental para proteger la información personal.