Un día como cualquier otro estás navegando por la Web y, de pronto, tu navegador deja de responder. Lo único que ves es una página de inicio de sesión a pantalla completa que te invita a introducir tus credenciales de Google para continuar. En un escenario normal esto no debería suceder. Algunas personas, sin embargo, están experimentándolo, y sí, se trata de un ataque.
Los investigadores de OALabs señalan que los ciberdelincuentes están utilizando esta novedosa técnica para robar usuarios y contraseñas. Se trata de una mecánica bastante simple, pero aparentemente muy efectiva. Las víctimas no suelen sospechar y acaban entregando sus datos de inicio de sesión a actores maliciosos sin saberlo para continuar con los que estaban haciendo.
Un ataque tan novedoso como efectivo
Todo comienza cuando el usuario es infectado por un malware llamado Amadey, que abre la puerta a cargar una utilidad maliciosa conocida como StealC. Cuando el sistema está comprometido, el navegador entra en “modo kiosco”, por lo que el contenido pasa a verse en pantalla completa y no es posible utilizar las teclas F11 o ESC para volver al Escritorio.
El modo kiosco es una función real de Chrome, que permite a los usuarios utilizar el navegador en mostradores de registro de huéspedes o en puntos de ventas. Sin embargo, el malware se aprovecha de esta función para limitar las posibilidades de la víctima. En este caso, como decimos, muestra una página de inicio de sesión de Google con apariencia legítima.
Una vez que el usuario introduce sus credenciales de acceso en el sistema comprometido, entra en juego StealC, que se encarga de robar estos datos. Una vez que los ciberdelincuentes tienen acceso a la cuenta de la víctima, pueden utilizarla para una variedad de otras actividades ilícitas, entre ellas, distribuir otro tipo de malware o montar estafas bancarias.
Este tipo de amenaza nos invita a estar más atentos en el mundo digital en el que vivimos. No solo debemos tratar de mantener el software de nuestro dispositivo actualizado (sistema operativo, navegador, etc.), sino que también debemos evitar navegar por página sospechosas o ingresar a enlaces de dudosa procedencia.
Cabe señalar que cada cierto tiempo tendremos que ingresar nuestras credenciales de inicio de sesión en nuestra cuenta de Google. Esto es completamente normal. No es normal, sin embargo, que se presenten las limitaciones del modo kiosco de Chrome. También podemos elevar nuestra seguridad utilizando verificación en dos pasos o passkeys.
Imágenes | Growtika | OALabs