• Tweet

Delincuentes han desarrollado un tipo de malware que hace que las contraseñas de los sitios web sean registradas por el navegador de la víctima.

Guardar credenciales lógicas de los sitios web es una opción de usuario controlada en todos los navegadores, a menudo activada por defecto. Pero en la práctica es mal vista por investigadores de seguridad, quienes señalan el riesgo de que las contraseñas dejadas en los navegadores podrían ser fácilmente extraídas por troyanos de robo de contraseñas, tales como Zeus.

Los analistas de antivirus de Webroot recientemente descubieron un truco de malware, el cual guarda las credenciales de inicio de sesión, incluso si los fans de Firefox no lo solicitaron, sus contraseñas siguen siendo salvadas por el navegador de código abierto. El troyano modifica un archivo principal de Firefox, llamado nsLoginManagerPrompter.js, que controla si Firefox pide al usuario que guarde las contraseñas cuando él o ella se registra en un sitio seguro.

Andrew Brandt investigador de Webroot explica que "Antes de la infección, se solicita al usuario una instalación por defecto de Firefox 3.6.10, después de que el usuario hace clic en el botón Iniciar sesión en una página Web, se le pregunta si él o ella quiere guardar la contraseña. Después de la infección, el navegador simplemente guarda todos los datos de acceso local, y no pregunta al usuario."

Cada vez que un elemento de malware alcanza los derechos administrativos de una recipiente comprometido el juegose acaba, sobre todo porque en ese momento es posible descargar software malicioso secundario que lleva a cabo funciones malignas sin el código del primer afectador. No obstante, los cambios en las tácticas utilizadas por los hackers son dignos de mención, entre otras cosas porque pueden arruinar o complicar el proceso de desinfección.

El registro de teclas del troyano también crea una nueva cuenta de usuario (username: Maestro) en el sistema infectado y secciona la información del registro, concretamente el Área de almacenamiento protegida utilizado por Internet Explorer para almacenar contraseñas, y la del almacén de contraseñas propias de Firefox, antes de intentar cargar el robo de datos a ciberdelincuentes. El servidor de control fue tomado fuera de línea entre el momento en que el malware apareció por primera vez y el punto donde el análisis se completó, pero el nombre se quedó en el código que señaló el nombre probablemente y (en el mejor de la Web 2.0-stylee) en el Facebook en el perfil de un usuario de la web iraní.

Webroot advierte que algunas de las personas que frecuentan las mismas reuniones clandestinas hacker como Zeynali, han solicitado su herramienta keylogger para sus propios fines nefastos. La firma de seguridad identifica al malware utilizado en el ataque como Trojan-PWS-NSLog.

Más información de Webroot a cerca de este ataque aquí.