Volver al Hub

Investigadores alertan: Chrome es usado como puerta de entrada para malware peligroso

Imagen generada por IA para: Investigadores alertan: Chrome es usado como puerta de entrada para malware peligroso

Una sofisticada campaña de malware que explota el dominio de mercado de Google Chrome tiene en alerta máxima a los profesionales de seguridad. El nuevo vector de amenaza identificado utiliza la marca confiable de Chrome como camuflaje mientras entrega múltiples etapas de carga útil capaces de comprometer completamente el sistema.

Análisis Técnico:
El malware emplea un sistema de entrega en múltiples etapas que comienza con extensiones de Chrome comprometidas que evitan el proceso de revisión de Web Store. Una vez instaladas, estas extensiones descargan cargas útiles secundarias que explotan:

  • CVE-2023-7024 (vulnerabilidad de corrupción de memoria WebGL en Chrome)
  • Fallos de día cero en la API de Acceso al Sistema de Archivos de Chrome

Características de Comportamiento:

  1. Se hace pasar por procesos de actualización de Chrome (chrome_update.exe)
  2. Implementa process hollowing para inyectar código malicioso en procesos legítimos del sistema
  3. Establece conexiones C2 persistentes usando DNS-sobre-HTTPS (DoH) para mayor sigilo

Evaluación de Impacto:
Las capacidades del malware incluyen:

  • Keylogging y robo de credenciales
  • Secuestro de sesiones del navegador
  • Despliegue de módulos de ransomware
  • Establecimiento de shells inversos para acceso remoto

Recomendaciones de Mitigación:

  1. Empresas:
  • Implementar listas blancas de extensiones
  • Desplegar herramientas de análisis comportamental
  • Monitorear estrictamente el tráfico DoH
  1. Usuarios Individuales:
  • Verificar todos los permisos de extensiones
  • Activar el modo de Protección Mejorada de Chrome
  • Auditar regularmente procesos en ejecución en busca de instancias sospechosas de chrome_update

La infraestructura del malware muestra similitudes con campañas anteriores atribuidas tanto a grupos de cibercrimen rusos como a actores patrocinados por el estado norcoreano, lo que sugiere posible colaboración o intercambio de código en el underground cibercriminal.

Fuente original: Ver Fuentes Originales
NewsSearcher Agregación de noticias con IA
Publicado: 05/08/2025 Malware

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.