Puede que no lo sepas, pero tus cuentas en línea podrían estár en riesgo. Un nuevo malware conocido como Glove Stealer ha llamado la atención por su capacidad de saltarse el cifrado de cookies protegido por la función App-Bound de Google Chrome, permitiéndole robar información del navegador de forma alarmante.
Según expertos en ciberseguridad (Gen Digital) que lo detectaron mientras analizaban una reciente campaña de phishing, este malware es "bastante básico y con poca protección o técnicas de ofuscación", lo que sugiere que aún está en una fase inicial de desarrollo. Sin embargo, no por eso deja de ser una amenaza preocupante.
En sus ataques, los hackers emplean tácticas de ingeniería social muy similares a las vistas en la cadena de infección de ClickFix. Esto incluye engañar a las víctimas mediante ventanas emergentes falsas de error que se muestran en archivos HTML adjuntos a correos electrónicos de phishing. El objetivo es convencer a los usuarios de que instalen el malware sin darse cuenta.
El malware Glove Stealer es una amenaza seria que puede robar cookies de navegadores como Chrome, Firefox, Edge, Brave, Yandex y Opera, todos basados en la tecnología Chromium o Firefox. Pero no se detiene ahí. También tiene la capacidad de atacar billeteras de criptomonedas en extensiones de navegador, robar tokens de autenticación 2FA de aplicaciones como Google Authenticator, Microsoft Authenticator, Aegis y LastPass, además de extraer contraseñas almacenadas en administradores como Bitwarden, LastPass y KeePass. Incluso los correos electrónicos en clientes como Thunderbird están en su lista de objetivos.
Lo preocupante es que no solo se enfoca en los navegadores. Según expertos, este software también intenta sacar información confidencial de 280 extensiones de navegador y más de 80 aplicaciones instaladas localmente, que incluyen desde billeteras de criptomonedas y autenticadores 2FA hasta administradores de contraseñas y clientes de correo electrónico. Es una amenaza multifacética que pone en riesgo una enorme cantidad de datos personales y corporativos.
Para robar credenciales en navegadores basados en Chromium, como Chrome, Glove Stealer utiliza un método para saltarse el cifrado App-Bound que Google introdujo en Chrome 127 el pasado julio. Esta función fue diseñada para proteger las cookies contra accesos no autorizados, pero Glove Stealer ha encontrado una forma de eludirla.
El malware aprovecha un módulo que utiliza el servicio IElevator de Windows, vinculado a Chrome, el cual se ejecuta con privilegios de SISTEMA. Este módulo le permite descifrar y recuperar las claves cifradas protegidas por App-Bound. Sin embargo, para que todo esto funcione, Glove Stealer necesita primero obtener privilegios de administrador local en el sistema infectado. Esto le da la capacidad de colocar el módulo malicioso dentro del directorio de Archivos de programa de Chrome, desde donde puede descifrar las claves de seguridad.
Aunque esta técnica es ingeniosa, sigue siendo básica en comparación con otros malwares de este tipo. Muchos infostealers más avanzados ya han desarrollado métodos más sofisticados para extraer cookies de cualquier versión de Chrome sin depender de estas técnicas iniciales. Esto sugiere que Glove Stealer aún está en una etapa temprana de desarrollo.
Algunos analistas de malware han señalado que esta táctica es similar a los primeros intentos de otros malwares después de que Google implementara el cifrado App-Bound. Desde entonces, muchas campañas de robo de información han evolucionado para superar estas barreras, permitiendo a los atacantes robar y descifrar cookies de Chrome sin depender de privilegios administrativos.
Aunque el requisito de acceso con privilegios de administrador podría parecer un obstáculo, esto no ha disminuido la cantidad de campañas activas que explotan técnicas similares. Glove Stealer es un ejemplo más de cómo los ciberdelincuentes están constantemente buscando maneras de superar las barreras de seguridad, poniendo en riesgo a usuarios y organizaciones por igual.
Desde que Google lanzó el cifrado App-Bound en julio, los ataques no han hecho más que aumentar. Los ciberdelincuentes están usando todo tipo de estrategias para atrapar a sus víctimas: desde controladores vulnerables y exploits de día cero, hasta tácticas como malvertising, spearphishing, respuestas falsas en StackOverflow y hasta "supuestas" soluciones a problemas en GitHub que en realidad son trampas.
Podría interesarte leer: Análisis de Malware con Wazuh
El malware Glove es una prueba más de que los ciberdelincuentes no dejan de buscar nuevas formas de saltarse las medidas de seguridad. El hecho de que pueda burlar la encriptación de cookies en Google Chrome deja claro lo importante que es estar siempre alerta y tomar medidas para proteger tanto nuestra información personal como la de las empresas.