Nuevo´s Infostealer elude las nuevas defensas antirrobo de cookies de Chrome

Iniciado por AXCESS, Septiembre 24, 2024, 08:56:24 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los desarrolladores del malware Infostealer lanzaron actualizaciones que afirman que pueden eludir la función recientemente introducida de Google Chrome, App-Bound Encryption, para proteger datos confidenciales como las cookies.

App-Bound Encryption se introdujo en Chrome 127 y está diseñado para cifrar las cookies y las contraseñas almacenadas mediante un servicio de Windows que se ejecuta con privilegios del sistema.

Este modelo no permite que el malware Infostealer, que se ejecuta con los permisos del usuario conectado, robe secretos almacenados en el navegador Chrome.

Para eludir esta protección, el malware necesitaría privilegios del sistema o inyectar código en Chrome, dos acciones ruidosas que probablemente activen advertencias de las herramientas de seguridad, dijo Will Harris del equipo de seguridad de Chrome.

Sin embargo, los investigadores de seguridad g0njxa y también RussianPanda9xx observaron a varios desarrolladores de Infostealer que se jactaban de haber implementado una omisión funcional para sus herramientas (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).

Whitesnake Stealer roba cookies de Chrome 128
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Parece que al menos algunas de las afirmaciones son reales, ya que g0njxa confirmó a BleepingComputer que la última variante de Lumma Stealer puede eludir la función de cifrado en Chrome 129, la versión actualmente más reciente del navegador.

Cookies extraídas de Chrome 129, utilizando la última versión de Lumma
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador probó el malware en un sistema Windows 10 Pro en un entorno sandbox.

En términos de tiempo, Meduza y WhiteSnake implementaron sus mecanismos de evasión hace más de dos semanas, Lumma la semana pasada y Vidar y StealC esta semana.

Lumar respondió inicialmente a App-Bound Encryption implementando una solución temporal que requería ejecutar el malware con derechos de administrador, pero luego implementó un mecanismo de evasión que funciona con los privilegios del usuario conectado.

Los desarrolladores de Lumma Stealer aseguraron a sus clientes que no necesitan ejecutar el malware con privilegios de administrador para que funcione el robo de cookies.

"Agregaron un nuevo método para recolectar cookies de Chrome. El nuevo método no requiere derechos de administrador y/o reinicio, lo que simplifica la creación de la cripta y reduce las posibilidades de detección, y por lo tanto aumenta la tasa de eliminación". – desarrolladores de Lumma Stealer

No se ha revelado exactamente cómo se logra eludir el cifrado vinculado a la aplicación, pero los autores del malware Rhadamanthys comentaron que tardaron 10 minutos en revertir el cifrado.

BleepingComputer se puso en contacto con el gigante tecnológico para obtener un comentario sobre la respuesta del desarrollador del malware al cifrado vinculado a la aplicación en Chrome, pero todavía estamos esperando una respuesta.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta