Han aparecido actualizaciones en diferentes malwares diseñados para robar información y contraseñas almacenadas en los navegadores, independientemente a que estas se encuentren cifradas.
Analizando el comportamiento del malware Redline se pudo averiguar que este tiene como objetivo el archivo “Login Data”, un pequeño archivo SQLite cifrado en el cual los usuarios y contraseñas son almacenados por el navegador Google Chrome.
Google Chrome cifra las contraseñas con la ayuda de la función CryptProtectData, integrada en Windows. Esta es una función que usa un algoritmo triple-DES y crea claves específicas del usuario para cifrar los datos. Sin embargo, existe la función CryptUnprotectData que permite descifrar los datos siempre que se inicie sesión en la misma cuenta del usuario que las cifró.
Aunque navegadores basados en Chromium (Opera, Brave, Google Chrome o Edge) almacenan las contraseñas cifradas, los malware modernos poseen la capacidad de revertir el cifrado, debido a que utilizan los mismos permisos del usuario que han infectado para acceder y descifrar sus credenciales almacenadas localmente.
Debido a esto recomendamos mantener el sistema operativo y antivirus actualizados, así como no almacenar las contraseñas en los navegadores para evitar robo de datos sensibles en caso de una infección por malware, utilizando en cambio herramientas especialmente diseñadas para la gestión de contraseñas.
Recientemente en el Centro de Respuestas a incidentes Cibernéticos CERT-PY hemos sido alertados nuevamente acerca de credenciales filtradas, entre las cuales se encontraban credenciales de ciudadanos paraguayos, específicamente, credenciales correspondientes a servicios web gubernamentales y de empresas privadas del sector. Estas credenciales fueron obtenidas y recolectadas por criminales a partir de la infección de dispositivos con varias familias de malware, los cuales son capaces de extraer las credenciales que la víctima tiene guardadas en su navegador. Para más información sobre la noticia puede dirigirse a https://www.cert.gov.py/noticias/cuidado-con-guardar-credenciales-en-el-navegador.
Referencias: