Hackers utilizan Google.com para distribuir malware eludiendo el soft antivirus

Iniciado por AXCESS, Junio 15, 2025, 07:58:47 PM

Tema anterior - Siguiente tema

0 Miembros y 17 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 15, 2025, 07:58:47 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El enlace OAuth de Google se está utilizando como arma para lanzar ataques dinámicos
Ha surgido una nueva campaña de malware basada en navegadores, que demuestra cómo los atacantes ahora explotan dominios confiables como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para evadir las defensas antivirus tradicionales.

Según un informe de investigadores de seguridad de c/side, este método es sutil, se activa condicionalmente y es difícil de detectar tanto para los usuarios como para el software de seguridad convencional.

Parece provenir de una URL legítima relacionada con OAuth, pero ejecuta de forma encubierta una carga maliciosa con acceso completo a la sesión del navegador del usuario.

Malware oculto a simple vista

El ataque comienza con un script incrustado en un sitio de comercio electrónico comprometido basado en Magento que hace referencia a una URL de cierre de sesión de Google OAuth aparentemente inofensiva: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Sin embargo, esta URL incluye un parámetro de devolución de llamada manipulado que decodifica y ejecuta una carga útil de JavaScript ofuscada mediante eval(atob(...)).

El uso del dominio de Google es fundamental para el engaño: dado que el script se carga desde una fuente confiable, la mayoría de las políticas de seguridad de contenido (CSP) y los filtros DNS lo permiten sin problema.

Este script solo se activa bajo ciertas condiciones. Si el navegador parece automatizado o la URL incluye la palabra "checkout", abre silenciosamente una conexión WebSocket a un servidor malicioso. Esto significa que puede adaptar el comportamiento malicioso a las acciones del usuario.

Cualquier carga útil enviada a través de este canal se codifica en base64, se decodifica y se ejecuta dinámicamente mediante el constructor de funciones de JavaScript.

Con esta configuración, el atacante puede ejecutar código remotamente en el navegador en tiempo real.

Uno de los principales factores que influyen en la eficacia de este ataque es su capacidad para evadir muchos de los mejores programas antivirus del mercado.

La lógica del script está altamente ofuscada y solo se activa bajo ciertas condiciones, lo que hace improbable que sea detectado incluso por las mejores aplicaciones antivirus para Android y escáneres de malware estáticos.

No inspeccionarán, marcarán ni bloquearán las cargas útiles de JavaScript enviadas a través de flujos OAuth aparentemente legítimos.

Los filtros basados en DNS o las reglas de firewall también ofrecen una protección limitada, ya que la solicitud inicial se dirige al dominio legítimo de Google.

En el entorno empresarial, incluso algunas de las mejores herramientas de protección de endpoints pueden tener dificultades para detectar esta actividad si dependen en gran medida de la reputación del dominio o no inspeccionan la ejecución dinámica de scripts en los navegadores.

Si bien los usuarios avanzados y los equipos de ciberseguridad pueden usar proxies de inspección de contenido o herramientas de análisis de comportamiento para identificar anomalías como estas, los usuarios promedio siguen siendo vulnerables.

Limitando los scripts de terceros, separando las sesiones del navegador utilizadas para transacciones financieras y manteniéndote alerta ante comportamientos inesperados del sitio web podrían ayudar a reducir el riesgo a corto plazo.

Fuente:
TechRadar
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario