Los ciberestafadores tienen una nueva forma de robar tu contraseña de Google: poner su navegador Chrome a pantalla completa

Luego, te presentan una web fraudulenta, y ya has caído en la trampa

Un reciente descubrimiento realizado por investigadores de ciberseguridad ha revelado una técnica sorprendente (y, por ello, alarmante) que permite robar contraseñas de usuarios de Google utilizando su propio navegador Chrome, tan sólo recurriendo a una versión especial del 'modo pantalla completa' conocida como 'modo kiosco'. Te explicamos cómo funciona este ataque y cómo puedes protegerte.

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

¿Cómo funciona el ataque?

El ataque comienza con la infección del dispositivo de la víctima por un malware llamado Amadey, que es utilizado como mero vehículo de infección para cargar otro malware más peligroso, conocido como StealC.

Esta combinación de tipos de malware obliga a Google Chrome a entrar en modo kiosco, una función perfectamente legítima del navegador, diseñada para usarse en terminales de cara al público, como puntos de venta o kioscos interactivos (y así no permitir la visualización de otras funciones del sistema operativo).

Pero la razón por la que este modo de funcionamiento le resulta útil a los atacantes no es sólo porque despliegue el navegador a pantalla completa, sino porque oculta también ciertos elementos del navegador (como los menús o la barra de direcciones) y desactiva ciertas funciones, como las teclas ESC o F11, lo que impide que el usuario salga del modo pantalla completa o cierre la ventana.

Una vez activado el modo kiosco, la víctima visualiza una página de inicio de sesión de Google aparentemente normal, donde se le solicita ingresar su nombre de usuario y contraseña.

Captura de pantalla de la web fraudulenta.

Pero en realidad, se trata de una web fraudulenta, controlada por los estafadores, lo que podría resultar obvio al usuario... si pudiera visualizar la URL en la barra de direcciones. Una vez el usuario se deja convencer e introduce sus credenciales, éstas son capturadas por el malware StealC y enviadas a los ciberdelincuentes.

De acuerdo con los expertos de OALabs (los descubridores de este ataque), llevan rastreando su uso por cibercriminales desde el mes pasado

¿Por qué este ataque es tan efectivo?

Lo que hace que este ataque sea tan peligroso es su relativa apariencia de normalidad. A diferencia de otros intentos de phishing o fraudes más evidentes, este ataque se presenta de forma que la víctima cree que está interactuando con una página legítima de Google.

El hecho de que el navegador esté bloqueado a pantalla completa genera una sensación de urgencia, lo que puede llevar al usuario a introducir sus datos sin cuestionar la autenticidad del sitio.

Además, muchos usuarios están acostumbrados a tener que introducir sus credenciales de Google de vez en cuando para reautenticar su cuenta. Este contexto hace que la página maliciosa pase desapercibida, aumentando la efectividad del ataque.

Este método es especialmente dañino porque una vez que los ciberdelincuentes tienen acceso a una cuenta de Google, pueden usarla para múltiples actividades ilícitas, como acceder a otros servicios conectados, robar información adicional o realizar estafas financieras.

Análisis técnico del ataque

Una vez que StealC está activo, se lanza un script conocido como Credential Flusher, que es el responsable de forzar al navegador a entrar en modo kiosco y mostrar la página de inicio de sesión falsa de Google. Este script está programado en AutoIt, un lenguaje de scripting (de nuevo, perfectamente legítimo) que permite automatizar tareas en Windows, lo que facilita el control del navegador y el robo de credenciales.

El proceso detallado es el siguiente:

  1. Infección inicial: El malware Amadey infecta el sistema del usuario.
  2. Carga del stealer: Amadey descarga y ejecuta StealC.
  3. Ejecución del Credential Flusher: El script de AutoIt abre el navegador en modo kiosco.
  4. Captura de credenciales: Los usuarios ingresan sus datos, que son capturados y almacenados para ser enviados a los atacantes.

Cómo salir del 'modo kiosco' si has caído en la trampa

Normalmente, para variar entre el aspecto normal de Chrome y el 'modo pantalla completa', basta con usar F11. Pero en el 'modo kiosco', esta tecla se deshabilita, por lo que, para salir de la web fraudulenta, debes seguir estos pasos:

  1. Presiona 'Alt + F4': Esto cerrará la ventana en modo kiosco si estás en un sistema Windows. En Mac, puedes usar 'Comando + Q' para cerrar la aplicación.
  2. Presiona 'Ctrl + W' o 'Ctrl + F4': Si deseas cerrar una pestaña sin salir completamente del navegador.
  3. Usa el Administrador de Tareas: Si, por alguna razón, las teclas anteriores no funcionan, puedes forzar el cierre del navegador abriendo el Administrador de Tareas ('Ctrl + Shift + Esc' en Windows) y finalizando el proceso de Chrome.

¿Cómo puedes protegerte?

Dado lo sofisticado de este ataque, es crucial tomar medidas preventivas para proteger tus cuentas y dispositivos. Aquí te dejamos algunas recomendaciones:

  1. Mantén tu software actualizado: Asegúrate de que tanto tu sistema operativo como tu navegador Chrome estén siempre en su última versión, ya que las actualizaciones suelen corregir vulnerabilidades de seguridad.
  2. Usa herramientas de seguridad: Contar con un buen programa antivirus o antimalware te ayudará a detectar y eliminar posibles amenazas antes de que puedan comprometer tu sistema.
  3. Desconfía de comportamientos inusuales del navegador: Si Chrome entra en modo pantalla completa sin que lo hayas solicitado y no puedes salir de él utilizando las teclas ESC o F11, es probable que estés siendo víctima de este ataque. En ese caso, intenta cerrar el navegador como se especificó antes.
  4. Evita hacer clic en enlaces sospechosos: El malware como Amadey suelen infectar los dispositivos cuando el usuario descarga archivos o accede a enlaces maliciosos. Sé cauteloso con los correos electrónicos o mensajes que contengan enlaces o archivos adjuntos de fuentes desconocidas.
  5. Activa la verificación en dos pasos: La autenticación de dos factores (2FA) añade una capa adicional de seguridad a tus cuentas, lo que dificulta que los atacantes puedan acceder a ellas incluso si logran robar tu contraseña.

Vía | OALABS

Imagen | Marcos Merino mediante IA + Lordalpha1

En Genbeta | Escuchando tus teclas pueden robar hasta el 95% de tus contraseñas: así han entrado a una inteligencia artificial

Ver todos los comentarios en https://www.genbeta.com

VER 2 Comentarios

Portada de Genbeta