* ESET Latinoamérica detectó una extensión maliciosa en Chrome que simula ser una herramienta de seguridad. Roba datos bancarios y puede introducir datos de cuentas y billeteras virtuales controladas por cibercriminales, posibilitando el desvío de fondos

Ciudad de México, México ­– El Laboratorio de investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó un código malicioso que afecta a los sistemas operativos Windows y se hace pasar por una extensión de seguridad para Google Chrome. Es detectado por las soluciones de ESET como JS/Spy.Banker.CV y se trata de un infostealer con capacidades de robar información sensible.

Este malware se propaga en la región, principalmente por México, mediante archivos adjuntos comprimidos en correos electrónicos que aparentar ser de instituciones financieras reconocidas. En su código se observan palabras nombres de variables y reemplazos en portugués, lo que evidencia que este tipo de amenazas trascienden fronteras.

Esta amenaza tiene la capacidad de modificar visualmente de detectar cuando el usuario se encuentra en una página financiera -hallando patrones comunes en este tipo de sitios- y cuando lo hace, puede modificar el DOM (Document Object Model) cambiando cómo se ve y funciona la página, sin que el usuario lo note. De esta forma, presenta formularios apócrifos con la apariencia real. Toda información ingresada en esos formularios es desviada a un servidor controlado por los cibercriminales.

Además, este malware tiene la capacidad de sustituir datos de billeteras de criptomonedas y bancarios del usuario por los de los cibercriminales, lo que habilitaría el desvío de fondos hacia los atacantes.

“Estamos ante un infostealer que posee capacidades para robar información sensible de una víctima cuando completa un formulario en una página de internet. Con capacidad de modificar la wallet y otros datos de pagos de la víctima, es una clara demostración de los cibercriminales buscan un rédito financiero.  Esta amenaza trasciende fronteras y aprovecha la reputación de instituciones financieras en toda la región”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

Durante la etapa de análisis, el equipo de ESET observó que esta muestra se propaga sobre México mediante archivos adjuntos comprimidos enviados por correo electrónico. También halló dentro de la extensión maliciosa dos archivos JavaScript con capacidades para robar datos sensibles, manipular visualmente sitios web y exfiltrar información a servidores de Comando y Control (C2).  
 

9rdzyQQniX0 Identificación de los archivos maliciosos de la extensión maliciosa

En la Figura 2 se puede ver el nombre con el que se instala la aplicación en el navegador, y en la Figura 3 la descripción en portugués de la extensión, haciéndose pasar por una herramienta de seguridad. d9dGV BrOShn
 

Figura 2. Visualización de la extensión de Chrome en el navegador
 cEhBQuFCkwh5

Figura 3. Se observa al instalar la extensión en el navegador que esta se hace pasar como una solución de seguridad.

Al analizar el archivo se identifica una manipulación visual de sitios bancarios. ESET encontró patrones comunes en páginas relacionadas con bancos o pagos, como "CPF", "CNPJ", "valor", que modifican el DOM para engañar al usuario. Esto incluye el reemplazo de datos reales por datos controlados por los atacantes. Por ejemplo, se ejecuta sobre el contenido del de la página buscando patrones de texto relacionados con depósitos bancarios  “epósito”, “CPF”, “Valor”). Si detecta que la página contiene términos como “depósito”, “CPF/CNPJ” y “alor” (probablemente parte de “Valor”), procede a inyectar lógica maliciosa.

“Durante el análisis notamos que la extensión maliciosa de Internet Google Chrome, persiste en la maquina víctima. Las muestras que contienen la extensión operan de manera sincronizada. Mientras una recolecta datos sensibles, la otra manipula el entorno visual del usuario para inducir a errores o desviar transferencias. Todas las interacciones son canalizadas a dominios maliciosos comunes. Es importante mencionar que esta persistencia actúa sobre el navegador afectado, puntualmente el malware se va a ejecutar cada vez que el mismo este en uso por la víctima”, explica Micucci de ESET Latinoamérica.

El uso de capacidades avanzadas de manipulación visual, dirigidas principalmente a usuarios en entornos financieros, así como su arquitectura modular y las técnicas de evasión obligan a implementar medidas específicas para lograr su detección. Desde ESET recuerdan que es muy importante verificar las extensiones instaladas en los sistemas y también que las fuentes sean confiables antes de instalar cualquier aplicación.

Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/investigaciones/malware-extension-chrome-robo-datos-bancarios/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw