Las cookies, esos pequeños fragmentos de datos que los navegadores almacenan para facilitar nuestras vidas en la web, son ahora el blanco preferido de los ciberdelincuentes. A pesar de los esfuerzos de Google por reforzar la seguridad de Chrome, el malware, conocido como Infostealer, ha encontrado la forma de saltarse las barreras más recientes y robar cookies de sesión con facilidad. Este no es un problema menor: una vez que las cookies caen en manos equivocadas, los atacantes pueden acceder a tus cuentas como si fueran tú, sin necesidad de contraseñas. ¿Cómo lo logran y qué puedes hacer al respecto? Te lo contamos a continuación.
Los creadores del malware Infostealer han lanzado nuevas versiones que aseguran poder saltarse la reciente función de seguridad de Google Chrome llamada App-Bound Encryption, diseñada específicamente para proteger datos sensibles como las cookies.
Este sistema de cifrado, introducido en la versión 127 de Chrome, cifra cookies y contraseñas utilizando un servicio de Windows que funciona con permisos de nivel del sistema. En teoría, esto impide que un malware, que se ejecuta con los permisos limitados del usuario, pueda acceder a esa información almacenada en el navegador.
Para vulnerar esta protección, el malware tendría que conseguir permisos de administrador o inyectar código directamente en Chrome, ambas acciones que suelen ser detectadas rápidamente por las herramientas de seguridad, según explicó Will Harris del equipo de seguridad de Chrome.
Sin embargo, investigadores de seguridad han detectado a varios desarrolladores de malware jactándose de haber logrado saltarse estas medidas con éxito en sus herramientas, entre ellas MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer y StealC.
Ladrón de Whitesnake que roba cookies de Chrome 128
Algunas de las afirmaciones sobre la capacidad de evadir la seguridad de Chrome parecen ser ciertas, ya que se ha confirmado que la última variante de Lumma Stealer es capaz de burlar la función de cifrado en Chrome 129, la versión más reciente del navegador. Este malware fue probado en un sistema Windows 10 Pro dentro de un entorno controlado.
En cuanto a la línea de tiempo, Meduza y WhiteSnake implementaron sus mecanismos de evasión hace más de dos semanas, mientras que Lumma lo hizo la semana pasada, y Vidar y StealC más recientemente.
Inicialmente, Lumar respondió al cifrado vinculado a la aplicación con una solución temporal que requería derechos de administrador para funcionar. Sin embargo, después implementaron una técnica de evasión que funciona con los permisos del usuario registrado, eliminando la necesidad de ejecutar el malware con privilegios de administrador.
Podría interesarte leer: Importancia de borrar tu historial y cookies en dispositivos móviles
Somos conscientes de la alteración que esta nueva defensa ha causado en el panorama de los ladrones de información y, como afirmamos en el blog, esperamos que esta protección provoque un cambio en el comportamiento de los atacantes hacia técnicas más observables, como la inyección o el raspado de memoria. Esto coincide con el nuevo comportamiento que hemos observado.
Seguimos trabajando con proveedores de sistemas operativos y antivirus para intentar detectar de forma más fiable estos nuevos tipos de ataques, además de seguir reforzando las defensas para mejorar la protección contra los ladrones de información para nuestros usuarios. - Un portavoz de Google
El robo de cookies sigue siendo un problema real en el mundo de la ciberseguridad, y los ciberdelincuentes no dejan de perfeccionar sus técnicas. A pesar de los esfuerzos de Google y otros para reforzar la seguridad, malwares como Infostealer están encontrando formas de saltarse las defensas más avanzadas, incluida la protección de Chrome. No hay una solución mágica para detener esto por completo, pero usar buenas prácticas de seguridad, confiar en herramientas anti-malware de calidad y estar siempre alerta puede marcar una gran diferencia.
Recuerda: proteger tus cookies es proteger tu identidad y tus cuentas. Mantente informado sobre las últimas amenazas y asegúrate de implementar medidas proactivas para mantener tus datos seguros. ¿Qué acciones estás tomando para proteger tu información en línea?