Hackers usan Google.com para un nuevo ciberataque silencioso

En el complejo ecosistema de la ciberseguridad, los atacantes evolucionan constantemente. Buscan grietas en las murallas que protegen nuestra vida digital. Ha surgido una nueva y sofisticada campaña de malware que redefine el sigilo. Demuestra cómo los ciberdelincuentes ahora explotan dominios de confianza como Google.com para eludir las defensas antivirus más comunes. Este método no solo es sutil, sino que se activa de forma condicional. Esto lo convierte en una amenaza casi invisible para el usuario promedio y para el software de seguridad convencional.

La técnica es alarmantemente ingeniosa. Según un revelador informe publicado por los investigadores de seguridad de c/side, los atacantes están logrando infiltrar código malicioso en los navegadores de sus víctimas. Usan una URL aparentemente legítima del propio Google.com. El resultado es un malware que obtiene acceso completo a la sesión del navegador. Opera en las sombras y espera el momento más vulnerable del usuario: el pago en línea.

Una amenaza que se esconde a plena vista

El punto de partida de este ataque es un script malicioso incrustado en sitios de comercio electrónico que han sido previamente comprometidos. Muchos de ellos están basados en la popular plataforma Magento. A primera vista, el script parece invocar una función inofensiva de Google.com. Específicamente una URL relacionada con el cierre de sesión de cuentas de Google OAuth: https://accounts.google.com/o/oauth2/revoke. Aquí reside la clave del engaño.

El uso de un dominio de Google.com es una jugada maestra por parte de los hackers. La mayoría de las defensas de seguridad, como las Políticas de Seguridad de Contenido (CSP) de un sitio web o los filtros de DNS que utilizamos en nuestras redes, están configuradas para confiar en los dominios de Google.com. Al ver una solicitud dirigida a accounts.google.com, estos sistemas de seguridad le dan paso libre. Asumen que es tráfico legítimo y seguro. Sin esta fachada de legitimidad, el ataque sería bloqueado de inmediato.

El ingenioso mecanismo del ataque

Lo que el software de seguridad no detecta es que la URL ha sido manipulada. Incluye un parámetro de «devolución de llamada» (callback) que, en lugar de realizar una acción legítima, contiene instrucciones para decodificar y ejecutar una pieza de código JavaScript malicioso que estaba oculto. Este script no se activa de inmediato, lo que lo hace aún más difícil de detectar. Permanece inactivo, observando la actividad del usuario.

El malware está programado para despertar únicamente bajo condiciones muy específicas. Su principal detonante es la navegación hacia una página cuya dirección web (URL) contenga la palabra «checkout» o «pago». En ese preciso instante, cuando el usuario se dispone a introducir sus datos de tarjeta de crédito o información de pago, el script malicioso se activa silenciosamente en segundo plano. Todo ocurre sin generar ninguna alerta visible.

La conexión silenciosa: el control en tiempo real

Una vez activo, el script establece una conexión WebSocket con un servidor controlado por los atacantes. Una conexión WebSocket puede entenderse como un túnel de comunicación directo y persistente entre el navegador de la víctima y el servidor del delincuente. Esta conexión es completamente invisible para el usuario. Además, le otorga al atacante un control total y en tiempo real sobre lo que ocurre en el navegador.

A través de este canal secreto, los ciberdelincuentes pueden enviar nuevas instrucciones en cualquier momento. Estas instrucciones, o cargas útiles, se envían codificadas para evitar ser detectadas por cualquier filtro de red. Una vez en el navegador, se decodifican y ejecutan dinámicamente. Esto significa que el atacante puede robar la información de la tarjeta de crédito en el mismo instante en que se introduce. También puede sustraer contraseñas, redirigir al usuario a una página de pago falsa o incluso modificar el contenido de la página que está viendo la víctima. El nivel de control es absoluto y ocurre sin que el usuario sospeche nada.

¿Por qué fallan los antivirus tradicionales?

Uno de los aspectos más preocupantes de esta campaña de malware es su capacidad para evadir gran parte de los mejores programas antivirus del mercado. Los escáneres estáticos de malware, que analizan los archivos en busca de firmas de virus conocidas, no son eficaces aquí. La lógica del script está muy ofuscada (intencionadamente complicada) y solo se activa bajo condiciones dinámicas. Por lo tanto, un análisis estático no encuentra nada sospechoso.

Asimismo, las herramientas de protección que dependen de la reputación de los dominios también fallan. Esto sucede porque la solicitud inicial se dirige a Google.com. Este es un dominio con una reputación impecable. Incluso en entornos corporativos, algunas de las herramientas de protección de endpoints más avanzadas pueden tener dificultades para identificar esta actividad si no están configuradas para inspeccionar en profundidad la ejecución dinámica de scripts dentro de los navegadores.

En este nuevo escenario, la vigilancia y el conocimiento del usuario se convierten en una línea de defensa fundamental. Limitar los scripts de terceros que se ejecutan en los sitios web, por ejemplo, mediante extensiones de navegador, puede ayudar. Adoptar prácticas como el uso de sesiones o perfiles de navegador separados exclusivamente para transacciones financieras también puede mitigar el riesgo. Estar alerta ante cualquier comportamiento inesperado de un sitio web, por muy confiable que parezca, es más importante que nunca. Este tipo de ataques nos recuerda que la confianza puede ser weaponizada y que en el mundo digital, la vigilancia constante es nuestro mejor aliado.

Fuente: https://www.techradar.com/