En las últimas horas, una nueva campaña de malware ha generado preocupación al atentar contra la seguridad de los usuarios mediante el robo de contraseñas de Google a través de navegadores de Internet. Este virus, conocido como Stealc, se propaga a través de la red Amadey, un bot que sirve como cargador de malware y que fue detectado por primera vez en 2018. Los ciberdelincuentes utilizan este software malicioso para obtener credenciales de acceso y mantener el control de los dispositivos infectados sin levantar sospechas.
Una amenaza silenciosa y efectiva
Los investigadores de seguridad han descubierto que este grupo de ciberdelincuentes emplea un script para explotar vulnerabilidades en los sistemas de los usuarios. La táctica consiste en lanzar el navegador en modo quiosco, es decir, a pantalla completa y sin opciones para minimizar o cerrar la ventana. De este modo, cuando el usuario intenta iniciar sesión en sitios web legítimos, como Google, se ve forzado a introducir sus credenciales sin posibilidad de evadir el proceso.
El malware bloquea las funciones habituales del teclado, como las teclas Esc o F11, impidiendo salir del modo quiosco. Además, desactiva la opción de cambiar de página, dejando al usuario sin más alternativa que proporcionar su información personal. Una vez que las credenciales son ingresadas, el malware las captura y las envía a los servidores controlados por los atacantes.
El modus operandi del ataque
El proceso de infección sigue una secuencia específica:
- Infección inicial: El dispositivo es infectado por el cargador Amadey, que puede llegar a través de correos electrónicos de phishing, descargas de software no verificado o sitios web comprometidos.
- Descarga del malware Stealc: Amadey descarga y ejecuta el malware Stealc desde un servidor externo.
- Activación del modo quiosco: Stealc implementa un script que fuerza al navegador a operar en modo quiosco cuando el usuario intenta acceder a páginas de inicio de sesión.
- Robo de credenciales: Al ingresar sus datos, el usuario sin saberlo proporciona sus credenciales a los ciberdelincuentes.
Medidas de protección y prevención
Ante esta amenaza, es fundamental que los usuarios tomen medidas para protegerse:
- Evitar proporcionar información personal en situaciones sospechosas: Si el navegador entra en modo quiosco sin motivo aparente, es recomendable no ingresar ninguna información y cerrar la sesión de inmediato.
- Utilizar combinaciones de teclas alternativas: En caso de quedar atrapado en modo quiosco, se pueden probar combinaciones como Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Supr o Alt + Tab para cerrar la ventana o acceder al Administrador de tareas y finalizar el proceso del navegador.
- Mantener el sistema actualizado: Instalar las últimas actualizaciones de seguridad del sistema operativo y los navegadores para corregir vulnerabilidades conocidas.
- Usar software de seguridad: Contar con un antivirus actualizado que pueda detectar y eliminar amenazas como Amadey y Stealc.
- Ser cauteloso con los correos electrónicos y descargas: No abrir archivos adjuntos ni hacer clic en enlaces de remitentes desconocidos, y descargar software únicamente de fuentes oficiales.
En resumen, la aparición de este tipo de malware subraya la importancia de mantener una actitud vigilante en línea. Los ciberdelincuentes continúan desarrollando métodos cada vez más sofisticados para obtener información personal y financiera. La combinación de prácticas de navegación segura, software actualizado y conciencia sobre las tácticas utilizadas por los atacantes es esencial para protegerse en el entorno digital actual.