{"id":489115,"date":"2022-11-22T20:15:18","date_gmt":"2022-11-22T20:15:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/este-malware-instala-extensiones-de-navegador-maliciosas-para-robar-contrasenas-y-criptos-de-los-usuarios\/"},"modified":"2022-11-22T20:15:20","modified_gmt":"2022-11-22T20:15:20","slug":"este-malware-instala-extensiones-de-navegador-maliciosas-para-robar-contrasenas-y-criptos-de-los-usuarios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/este-malware-instala-extensiones-de-navegador-maliciosas-para-robar-contrasenas-y-criptos-de-los-usuarios\/","title":{"rendered":"Este malware instala extensiones de navegador maliciosas para robar contrase\u00f1as y criptos de los usuarios"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado que una extensi\u00f3n maliciosa para los navegadores web basados \u200b\u200ben Chromium se distribuye a trav\u00e9s de un antiguo ladr\u00f3n de informaci\u00f3n de Windows llamado <b>ViperSoftX<\/b>.<\/p>\n<p>La empresa de seguridad cibern\u00e9tica con sede en Rep\u00fablica Checa apod\u00f3 el complemento de navegador no autorizado VenomSoftX debido a sus caracter\u00edsticas independientes que le permiten acceder a visitas a sitios web, robar credenciales y datos del portapapeles, e incluso intercambiar direcciones de criptomonedas a trav\u00e9s de un ataque de adversario en el medio (AiTM). .<\/p>\n<p>ViperSoftX, que primero <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/c3rb3ru5d3d53c\/status\/1227071037633945600\" target=\"_blank\">sali\u00f3 a la luz<\/a> en febrero de 2020, se caracteriz\u00f3 por <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/vipersoftx-new-javascript-threat\" target=\"_blank\">Fortinet<\/a> como un troyano de acceso remoto basado en JavaScript y un ladr\u00f3n de criptomonedas.  El analista de amenazas de Sophos document\u00f3 el uso del malware de una extensi\u00f3n del navegador para avanzar en sus objetivos de recopilaci\u00f3n de informaci\u00f3n. <a rel=\"nofollow noopener\" href=\"https:\/\/www.th3protocol.com\/2022\/ViperSoftX-Stealer\" target=\"_blank\">colin cowie<\/a> a principios de este a\u00f1o.<\/p>\n<p>&#8220;Este ladr\u00f3n de m\u00faltiples etapas exhibe interesantes capacidades de ocultaci\u00f3n, ocultas como peque\u00f1os scripts de PowerShell en una sola l\u00ednea en medio de grandes archivos de registro de aspecto inocente, entre otros&#8221;, dijo Jan Rub\u00edn, investigador de Avast. <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/janrubin\/vipersoftx-hiding-in-system-logs-and-spreading-venomsoftx\/\" target=\"_blank\">dijo<\/a> en un informe t\u00e9cnico.<\/p>\n<p>&#8220;ViperSoftX se enfoca en robar criptomonedas, intercambiar portapapeles, tomar huellas dactilares de la m\u00e1quina infectada, as\u00ed como descargar y ejecutar cargas \u00fatiles adicionales arbitrarias o ejecutar comandos&#8221;.<\/p>\n<p>El vector de distribuci\u00f3n utilizado para propagar ViperSoftX generalmente se logra a trav\u00e9s de software descifrado para Adobe Illustrator y Microsoft Office que se alojan en sitios de intercambio de archivos.<\/p>\n<p>El archivo ejecutable descargado viene con una versi\u00f3n limpia del software descifrado junto con archivos adicionales que configuran la persistencia en el host y albergan el script ViperSoftX PowerShell.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Malware de extensi\u00f3n de Chrome\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Este-malware-instala-extensiones-de-navegador-maliciosas-para-robar-contrasenas.png\" title=\"Malware de extensi\u00f3n de Chrome\"\/><\/div>\n<p>Las variantes m\u00e1s nuevas del malware tambi\u00e9n pueden cargar el complemento VenomSoftX, que se recupera de un servidor remoto, en navegadores basados \u200b\u200ben Chromium como Google Chrome, Microsoft Edge, Opera, Brave y Vivaldi.<\/p>\n<p>Esto se logra buscando archivos LNK para las aplicaciones del navegador y modificando los accesos directos con un &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/peter.sh\/experiments\/chromium-command-line-switches\/\" target=\"_blank\">&#8211;carga-extensi\u00f3n<\/a>&#8221; interruptor de l\u00ednea de comando que apunta a la ruta donde se almacena la extensi\u00f3n desempaquetada.<\/p>\n<p>&#8220;La extensi\u00f3n intenta disfrazarse de extensiones de navegador conocidas y comunes como Google Sheets&#8221;, explic\u00f3 Rub\u00edn.  &#8220;En realidad, VenomSoftX es otro ladr\u00f3n de informaci\u00f3n implementado en la v\u00edctima desprevenida con permisos de acceso completo a cada sitio web que el usuario visita desde el navegador infectado&#8221;.<\/p>\n<p>Vale la pena se\u00f1alar que la t\u00e1ctica &#8211;load-extension tambi\u00e9n ha sido utilizada por otro ladr\u00f3n de informaci\u00f3n basado en navegador denominado ChromeLoader (tambi\u00e9n conocido como Choziosi Loader o ChromeBack).<\/p>\n<p>VenomSoftX, como ViperSoftX, tambi\u00e9n est\u00e1 orquestado para robar criptomonedas de sus v\u00edctimas.  Pero a diferencia de este \u00faltimo, que funciona como un recortador para redirigir las transferencias de fondos a una billetera controlada por un atacante, VenomSoftX manipula las solicitudes de API a los intercambios de cifrado para drenar los activos digitales.<\/p>\n<p>Los servicios a los que se dirige la extensi\u00f3n incluyen Blockchain.com, Binance, Coinbase, Gate.io y Kucoin.<\/p>\n<p>El desarrollo marca un nuevo nivel de escalada al intercambio de portapapeles tradicional, al mismo tiempo que no levanta ninguna sospecha inmediata ya que la direcci\u00f3n de la billetera se reemplaza a un nivel mucho m\u00e1s fundamental.<\/p>\n<p>Avast dijo que ha detectado y bloqueado m\u00e1s de 93.000 infecciones desde principios de 2022, con la mayor\u00eda de los usuarios afectados ubicados en India, EE. UU., Italia, Brasil, Reino Unido, Canad\u00e1, Francia, Pakist\u00e1n y Sud\u00e1frica.<\/p>\n<p>Un an\u00e1lisis de las direcciones de billetera codificadas en las muestras revela que la operaci\u00f3n ha generado para sus autores una suma total de aproximadamente $ 130,421 al 8 de noviembre de 2022, en varias criptomonedas.  Desde entonces, la ganancia monetaria colectiva se ha reducido a $ 104,500.<\/p>\n<p>&#8220;Dado que las transacciones en blockchains\/libros mayores son inherentemente irreversibles, cuando el usuario verifica el historial de transacciones de pagos despu\u00e9s, ya es demasiado tarde&#8221;, dijo Rub\u00edn.<\/p>\n<p><\/p>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/this-malware-installs-malicious-browser.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que una extensi\u00f3n maliciosa para los navegadores web basados \u200b\u200ben Chromium se distribuye a trav\u00e9s<\/p>\n","protected":false},"author":1,"featured_media":489116,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,13382,49537,560,3574,4662,27834,4668,4667,36,7355,4669,931,4654,4658,4659,4653,4655,18,4663,26365,4666,4665,7528,4660],"class_list":["post-489115","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-contrasenas","tag-criptos","tag-este","tag-extensiones","tag-filtracion-de-datos","tag-instala","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-maliciosas","tag-malware","tag-navegador","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-robar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-usuarios","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/489115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=489115"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/489115\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/489116"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=489115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=489115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=489115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}