Infección Maliciosa en Google Chrome: LummaC2 y su Estrategia de Robo Digital

En agosto de 2024, los investigadores descubrieron una sofisticada campaña de malware dirigida a los usuarios de Google Chrome. Este ataque involucró la distribución del ladrón de información LummaC2, mediante la descarga automática de un archivo ZIP malicioso que contenía un instalador MSI. Una vez ejecutado, este archivo activaba una cadena compleja de comandos y procesos diseñados para comprometer los sistemas de las víctimas, extraer información confidencial y realizar transacciones financieras fraudulentas.

El vector de ataque inicial fue un archivo MSI que establecía comunicación con un servidor remoto para obtener una contraseña y extraer una DLL maliciosa de un archivo RAR. Posteriormente, se empleaba un ejecutable legítimo asociado con herramientas criptográficas para descifrar la DLL maliciosa. El software malicioso aprovechaba una técnica conocida como instalación lateral de DLL, que explota la forma en que el sistema operativo Windows busca archivos DLL en directorios específicos. Este enfoque permitió que el ejecutable malicioso cargara y ejecutara código dañino.

Una de las características más preocupantes de esta campaña fue el uso de la extensión maliciosa de Chrome llamada “Guardar en Google Drive”. Esta extensión instalaba el malware LummaC2 y permitía a los atacantes obtener acceso no autorizado a cuentas de Facebook, Coinbase y Google Pay. Al gestionar transacciones financieras de estas plataformas, los ciberdelincuentes podían realizar actividades fraudulentas, como establecer saldos de cuentas, generar direcciones de criptomonedas y retirar fondos. Todo esto se lograba mediante el envío de datos JSON que contenían detalles críticos de las transacciones.

Además, la extensión maliciosa recopilaba datos de hardware y sistema, cookies y otra información del navegador. Estos datos eran enviados a un servidor remoto, junto con un identificador único del dispositivo comprometido. Esto otorgaba a los atacantes la capacidad de monitorear y controlar la actividad de la víctima desde la distancia, permitiéndoles tomar decisiones sobre qué información robar y cómo aprovechar los recursos comprometidos.

Otro aspecto crítico de este ataque fue el uso de ventanas emergentes invisibles que contenían URL de servidores de comando y control (C2). Estas ventanas emergentes eran monitoreadas en busca de contenido relacionado con pagos, inicios de sesión y administración de anuncios. Los ciberdelincuentes inyectaban código malicioso que les permitía manipular el contenido de estos elementos, robando información confidencial o alterando la experiencia del usuario de manera perjudicial. Esta técnica resultó especialmente eficaz en plataformas de correo electrónico como Outlook, Gmail y Yahoo Mail, donde los atacantes pudieron modificar los contenidos de los correos electrónicos, incluidas las verificaciones de autenticación de dos factores (2FA), lo que representó un riesgo considerable para la privacidad y seguridad de los usuarios.

Un componente destacado del malware era la función “makeScreenShot” en el archivo “proxy.js”, que capturaba capturas de pantalla de las pestañas activas en Chrome y las enviaba al servidor de comando y control. Esto permitía a los atacantes observar directamente la actividad de navegación de la víctima y potencialmente robar información altamente sensible, como credenciales de inicio de sesión o datos financieros.

El análisis de eSentire reveló que los actores maliciosos también emplearon una técnica de carga lateral de DLL para implementar tanto el ladrón LummaC2 como la extensión de Chrome. Estos elementos trabajaban en conjunto para extraer información confidencial de las URL relacionadas con criptomonedas, incluidas direcciones de Bitcoin. Utilizando el sistema de codificación Base58, los atacantes lograron decodificar y robar datos cruciales de estas transacciones, lo que subraya la sofisticación del ataque.

El ataque detectado en agosto de 2024 es un recordatorio de cómo los ciberdelincuentes continúan evolucionando sus métodos para explotar vulnerabilidades en sistemas y navegadores ampliamente utilizados. La combinación de técnicas como la instalación lateral de DLL, el uso de extensiones maliciosas y el compromiso de sistemas críticos demuestra la necesidad de una vigilancia constante y una protección sólida.

Para mitigar riesgos de ataques similares, los usuarios deben ser extremadamente cautelosos con los archivos descargados y las extensiones instaladas en sus navegadores. Además, las organizaciones deben asegurar sus infraestructuras mediante soluciones de seguridad que puedan detectar comportamientos sospechosos, evitar la ejecución de código no autorizado y realizar auditorías periódicas de los sistemas. Las actualizaciones regulares de software y los parches de seguridad también juegan un papel fundamental para cerrar posibles puertas traseras que los atacantes puedan aprovechar.

Hashtags: #Cybersecurity ? #ChromeMalware ⚠️ #LummaC2 ?️ #DLLInjection ?️ #CyberAttacks ? #InfoSecurity ? #TechThreats ?‍? #BrowserSecurity ? #DigitalSafety ? #DataProtection ?️‍♂️