AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevo malware infostealer compromete navegadores centrados en la privacidad y roba credenciales**

admin

### Introducción

La aparición de nuevas variantes de malware orientadas al robo de información sensible es una amenaza constante para organizaciones y usuarios avanzados. Un reciente informe de seguridad advierte sobre la proliferación de una nueva familia de malware infostealer capaz de exfiltrar credenciales y datos de sistemas, incluso desde navegadores que tradicionalmente se consideran más seguros y respetuosos con la privacidad que las opciones convencionales. Este escenario plantea importantes retos para los equipos de ciberseguridad, ya que amplía la superficie de ataque y compromete la confianza depositada en herramientas alternativas al mainstream.

### Contexto del Incidente o Vulnerabilidad

Durante el segundo trimestre de 2024, varios equipos de threat intelligence han detectado campañas activas que distribuyen un infostealer diseñado no solo para atacar navegadores populares como Chrome, Edge o Firefox, sino también para apuntar contra navegadores centrados en la privacidad, tales como Brave, Tor Browser y Vivaldi. Estos navegadores han ganado popularidad entre usuarios preocupados por la protección de sus datos, pero el malware explota debilidades compartidas en la gestión de credenciales y almacenamiento local.

La infección inicial se produce principalmente a través de campañas de phishing dirigidas, descarga de software legítimo troyanizado y malvertising. Los analistas han observado que la cadena de infección suele implicar la explotación de macros maliciosas en documentos de Office, así como archivos comprimidos que contienen ejecutables ofuscados.

### Detalles Técnicos

En cuanto a su identificación, varias muestras han sido clasificadas bajo el CVE-2024-31798, relacionado con la ejecución remota de código en sistemas Windows mediante la manipulación de APIs utilizadas por navegadores basados en Chromium y Firefox. El malware emplea técnicas de evasión de defensa reconocidas en el framework MITRE ATT&CK, como la T1059 (Command and Scripting Interpreter), T1027 (Obfuscated Files or Information) y T1082 (System Information Discovery).

Una vez desplegado, el infostealer realiza las siguientes acciones:

– **Enumeración de navegadores instalados**: Escanea el sistema en busca de rutas y archivos de configuración de navegadores alternativos.
– **Extracción de credenciales y cookies**: Accede a las bases de datos SQLite y archivos de almacenamiento local, incluso en aquellos navegadores que implementan mecanismos de cifrado propietario.
– **Exfiltración de wallets y extensiones**: Detecta y exfiltra datos asociados a extensiones de carteras de criptomonedas.
– **Persistencia y lateralización**: Modifica claves de registro y programadores de tareas para asegurar persistencia, y puede intentar moverse lateralmente si detecta recursos compartidos.

Las muestras analizadas hacen uso de frameworks como Metasploit para establecer canales de C2 (Command and Control), y algunos artefactos han sido empaquetados con Cobalt Strike para posibilitar el movimiento lateral o la descarga de payloads adicionales. Los indicadores de compromiso (IoC) incluyen conexiones hacia dominios .onion y direcciones IP asociadas históricamente a infraestructura de botnets.

### Impacto y Riesgos

El impacto es significativo tanto para empresas como para usuarios particulares. Se han reportado ya más de 15.000 endpoints comprometidos en Europa y América del Norte, con tasas de éxito superiores al 35% en campañas dirigidas contra organizaciones del sector financiero y tecnológico. El robo de credenciales puede desembocar en accesos no autorizados a sistemas críticos, movimientos laterales dentro de redes corporativas y exfiltración de información confidencial, con potenciales pérdidas económicas que superan los 10 millones de euros en el primer mes de actividad.

La afectación a navegadores orientados a la privacidad genera un nuevo vector de riesgo, ya que muchos usuarios falsamente confían en que estas herramientas son intrínsecamente seguras. Además, la presencia de wallets de criptomonedas en navegadores como Brave amplifica el riesgo de robo de activos digitales.

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, los expertos recomiendan:

– **Actualización inmediata** de navegadores y sistemas operativos, aplicando parches para vulnerabilidades conocidas como el CVE-2024-31798.
– **Revisión y endurecimiento** de políticas de acceso a credenciales y gestión de extensiones en entornos corporativos.
– **Implementación de soluciones EDR** (Endpoint Detection and Response) capaces de detectar actividad anómala y procesos sospechosos.
– **Monitorización activa** de logs de acceso y tráfico de red en busca de IoCs asociados a canales de C2.
– **Formación continua** para empleados sobre phishing y riesgos asociados a la descarga de software no verificado.

En el marco normativo europeo, la detección de este tipo de incidentes debe notificarse conforme a la directiva NIS2 y puede suponer sanciones importantes según el RGPD, si implica la exposición de datos personales o credenciales de acceso.

### Opinión de Expertos

Según Marta Gutiérrez, CISO de una entidad financiera española, “la diversificación de vectores de ataque demuestra que la seguridad basada en la elección de herramientas no es suficiente. Es imprescindible desplegar controles de defensa en profundidad y asumir que ningún software está exento de ser objetivo”. Por su parte, Luis Bravo, analista SOC, destaca la sofisticación de las campañas: “La utilización combinada de Metasploit y Cobalt Strike permite a los atacantes adaptar sus tácticas en tiempo real y maximizar el impacto del ataque”.

### Implicaciones para Empresas y Usuarios

Este incidente pone de relieve la necesidad de una gestión integral de la ciberseguridad, que no se limite a proteger los navegadores más populares. Las empresas deben revisar sus políticas de acceso y monitorizar dispositivos que utilicen navegadores alternativos, implementando mecanismos de autenticación fuerte y segmentación de redes. Los usuarios avanzados, por su parte, deben ser conscientes de que la privacidad no equivale necesariamente a seguridad, y que la adopción de buenas prácticas es imprescindible.

### Conclusiones

La irrupción de este nuevo infostealer señala una tendencia preocupante: los atacantes están diversificando sus objetivos y adaptando sus técnicas a las nuevas preferencias del mercado. Ni siquiera los navegadores más orientados a la privacidad están a salvo de campañas de malware cada vez más sofisticadas. Es esencial reforzar la detección proactiva, la respuesta ante incidentes y mantener una vigilancia continua para anticipar y mitigar riesgos emergentes.

(Fuente: www.darkreading.com)