El aumento alarmante de los robos de cuentas de correo (account takeovers) llevó a Google a lanzar un alerta, tomando en cuenta que ahora los ciberdelincuentes no solo roban contraseñas, sino que hacen capturan códigos de autenticación y hasta cookies de sesión.

Con este avance en su metodología, los atacantes pueden tomar el control de una cuenta sin necesidad tener que superar pasos de seguridad adicionales.

De acuerdo con Chrome Sync., “la sincronización del navegador es profundamente cómoda… y peligrosamente amplia. Cuando activas la sincronización en Chrome, Google almacena en la nube un volumen enorme de tus datos privados: historiales, pestañas abiertas, contraseñas, métodos de pago, direcciones, teléfonos, información almacenada en Google Pay, etc”. Es decir, la vida digital del usuario.

Si a esto se añade el hecho de que Chrome funciona como un gestor universal de contraseñas, si un hacker accede a la cuenta “abre la puerta a servicios bancarios, redes sociales, tiendas online, herramientas de trabajo y cualquier plataforma cuyos datos estén almacenados en el navegador”.

De manera similar ocurre con el robo de cookies, una técnica que va ganando terreno y que permite a los atacantes “saltarse los mecanismos de login y comportarse como si fueran tú, sin que el sistema detecte nada extraño”.

La noticia positiva es que los usuarios pueden protegerse. Una de las principales medidas de resguardo es desactivar Chrome Sync o usar la opción “Personalizar sincronización” para excluir datos especialmente sensibles como contraseñas y medios de pago.

Además, Google recuerda que “es posible cifrar toda la información sincronizada mediante una frase de contraseña. Es cierto que esta opción desactiva algunas funciones —como Smart Lock—, pero multiplica la seguridad. Es un pequeño sacrificio a cambio de evitar que una intrusión comprometa tu identidad digital completa”.

Por su parte, desde Google se están implementando nuevas herramientas para mitigar los ataques, incluso cuando los datos ya han sido robados, como las passkeys, las Device Bound Session Credentials en su fase beta o el nuevo Shared Signals Framework que permitirá que Google reaccione automáticamente cuando plataformas asociadas detecten actividad sospechosa.

M.Pino

Fuente: muycomputer

(Imagen referencial: Krsto Jevtic en Unsplash)

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Google emitió alerta por aumento de secuestros de cuentas apareció primero en Bitfinance.

El robo de contraseñas sigue en aumento. De acuerdo con datos recientes, el esquema de malware Snakestealer lidera los ataques.

“El código malicioso conocido como infostealer está encabezando la lista de los ataques más frecuentes en todo el mundo. Estos programas se infiltran en computadoras y dispositivos sin ser detectados, con el único propósito de robar datos personales, credenciales de acceso y hasta información bancaria”.

La variante SnakeStealer acumula la mayor cantidad de detecciones según reportes de seguridad recientes. Se trata de una familia de malware ya conocida, pero que ha escalado en el entorno criminal debido “a su efectividad y facilidad de acceso, convirtiéndose en la herramienta preferida de los ciberdelincuentes”.

“El modelo de distribución de SnakeStealer se basa en el esquema de malware como servicio (MaaS), un formato similar al de un software comercial legítimo, pero ofrecido en foros clandestinos”. En otras palabras, significa que cualquiera, incluso sin conocimientos avanzados en programación, puede alquilar o comprar el malware y desplegar ataques a gran escala.

De acuerdo con los especialistas, SnakeStealer es tan letal porque puede desactivar procesos relacionados con antivirus y herramientas de análisis de malware, evitando ser detectado. Además, “verifica si el equipo víctima está siendo monitoreado en una máquina virtual, para evitar ser estudiado por expertos en seguridad. Una vez instalado, busca asegurar su permanencia modificando registros de arranque del sistema operativo Windows”.

Lo que sigue a partir de esa fase es el robo de información sensible, como las contraseñas guardadas en navegadores, “clientes de correo electrónico, aplicaciones de mensajería como Discord y hasta redes WiFi almacenadas en la computadora”.

Por si fuera poco, el malware puede registrar las teclas que el usuario presiona (keylogging), capturar pantallas y copiar datos del portapapeles.

El envío de esta información robada se ejecuta por diferentes vías: puede transmitirla mediante servidores FTP, enviarla a través de un canal en Telegram, o incluso enviarla como archivo adjunto comprimido en un correo electrónico.

Medidas de seguridad para evitar ser víctima

Entre las medidas preventivas para reducir los riesgos de este infostealer se incluye mantener los sistemas operativos y programas siempre actualizados es una de las primeras barreras. “Asimismo, resulta esencial contar con soluciones de seguridad confiables instaladas en computadoras y dispositivos móviles”. En cuanto al correo electrónico, mantenerse alerta ante archivos adjuntos y enlaces recibidos de remitentes desconocidos. Y en caso de recibir comunicaciones sospechosas de empresas o instituciones reconocidas, lo más seguro es verificar directamente a través de sus canales oficiales.

M.Pino

Fuente: infobae

(Imagen referencial: Volodymyr Kondriianenko en Unsplash)

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Snakestealer encabeza robo de contraseñas en 2025 apareció primero en Bitfinance.

Un equipo de investigadores ha descubierto un nuevo ‘malware’ integrado en aplicaciones para teléfonos Android, que recibe el nombre de CherryBlos y que utiliza el reconocimiento óptico de caracteres para robar credenciales.

Los especialistas en ciberseguridad del Servicio de aplicaciones móviles (MARS, por sus siglas en inglés) de Trend Micro han advertido una nueva familia de ‘malware’ para el sistema operativo de Google y que están involucradas en la minería de criptomonedas y campañas de estafas financieras.

CherryBlos, que apareció inicialmente en abril de 2023, se habría distribuido inicialmente a través de Telegram y estaría presente en cuatro aplicaciones diferentes para Android: GPTalk, Happy Miner, Robot 999 y SynthNet. Está diseñado para robar credenciales relacionadas con las transacciones de criptomonedas y que es capaz de reemplazar las direcciones utilizadas cuando se retiran activos de estas wallets.

Desde Trend Micro recuerdan que, como la mayoría de troyanos bancarios modernos, CherryBlos «requiere de permisos de accesibilidad para funcionar», de modo que cuando el usuario abre la aplicación infectada, se muestra una ventana de diálogo emergente que solicitará a los usuarios que habiliten los permisos de accesibilidad. Una vez ha obtenido estos permisos, CherryBlos solicita dos archivos de configuración al servidor de comando y control (C&C), una dirección que se almacena como una cadena de recursos, y la comunicación se produce a través de HTTPS.

Malware CherryBlos roba las contraseñas de los usuarios

Para robar las credenciales o activos de las billeteras, CherryBlos emplea diferentes técnicas. Una de ellas es la de implementar una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales. De hecho, comprueba las apps de billeteras que el usuario tiene instaladas en su dispositivo para lanzar una falsa cuando detecta actividad.

Utiliza el Servicio de accesibilidad, un sistema que monitoriza la actividad y que, cuando la detecta, utiliza StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las víctimas a introducir sus credenciales de acceso. Una vez las víctimas introducen sus claves y hacen clic sobre el botón ‘confirmar’, estas se transmiten al servidor de C&C.

Otra técnica de robo que emplea supone la suplantación de la interfaz de usuario para modificar la dirección de retiro de divisas, con el fin de que vaya a una ‘app’ legítima de Binance controlada por los ciberdelincuentes.

El malware identifica tres palabras clave durante la actividad: ‘Retirar’, ‘Confirmar’ y ‘Enviar’. Una vez detectadas, el malware utiliza el servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizada en esa transacción. Después de superponer una interfaz ilegítima a la aplicación infectada, se completa la compra de activos y estos se transfieren a una dirección controlada por el atacante.

Trend Micro también ha comentado que CherryBlos es capaz de leer archivos multimedia guardados en el almacenamiento externo y que puede utilizar el reconocimiento óptico de caracteres (OCR) para reconocer contraseñas mnemotécnicas utilizadas para obtener acceso a una cuenta. Es decir, que cuando las aplicaciones legítimas muestran frases de contraseña en las pantallas de los teléfonos, este software malicioso puede tomar una imagen de la pantalla y, después, utilizar OCR para traducir lo que aparece en ella a un formato de texto, que se puede utilizar para vulnerar la cuenta.

Tal y como recuerdan desde Ars Technica, la mayoría de aplicaciones relacionadas con la banca y las fianzas utilizan una configuración que impide tomar capturas de pantalla durante las transacciones confidenciales y que este malware parece eludir estas restricciones. Esto es posible porque obtiene permisos de accesibilidad utilizados por personas con problemas de visión.

Fuente: dpa

(Fuente imagen referencial: Unsplash, en colaboración con Getty Images)

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Nuevo malware CherryBlos se integra en apps de Android apareció primero en Bitfinance.