Novedades Sobre NXnet

23/02/2017

Un nuevo ataque pirata en Chrome engaña a los usuarios para que instalen malware en sus PCs

La infección manipula la renderización de texto de los sitios y obliga a descargar un archivo apócrifo para solucionar el problema.

Investigadores de seguridad han descubierto un nuevo vector de piratería para Chrome que solicita a los usuarios que descarguen una "fuente perdida" y luego los engaña para que instalen malware en sus sistemas.

La infección fue descubierta por Mahmoud Al-Qudsi de la firma de seguridad cibernética NeoSmart Technologies, que ha detallado el ataque en su blog. El investigador notó la trampa mientras exploraba un sitio web no identificado de WordPress que supuestamente ya estaba comprometido. A diferencia de otros ataques, éste estaba particularmente bien disfrazado.

Los hackers utilizaron JavaScript para manipular la renderización de texto del sitio, haciendo que se asemeje a un texto codificado en lugar del contenido real, dando la falsa sensación de que la fuente utilizada por el portal no ha sido descargada. A continuación, un script solicita a los usuarios que resuelvan el problema actualizando el "paquete de fuentes de Chrome".

Lo que hace que el ataque sea especialmente astuto es el sutil vector de piratería que emplea. Además de la premisa creíble de la “fuente perdida”, la ventana de diálogo también fue diseñada para que se asemeje con precisión a una ventana emergente real de Chrome: Utiliza el logotipo y el color para el botón “actualizar” correctos.

Tal como señalaron desde NeoSmart Technologies, hay algunos signos que pueden alertar a los usuarios cuidadosos. Por un lado, la ventana de diálogo ha sido codificada para mostrar que el usuario está ejecutando la versión 53 de Chrome, una pista que podría sugerir a algunos usuarios que ejecuten otras versiones del navegador de que algo podría estar andando mal.

Además, al hacer clic en "Actualizar", el sistema procede a descargar un archivo titulado “Chrome Font v7.5.1.exe", cuyo nombre no coincide con el mostrado en la imagen de instrucción, que dice "Chrome_Font.exe". "

A pesar de esto, los investigadores advierten que, por ahora, Chrome todavía no filtra el archivo como malware. De forma similar, Windows Defender no etiqueta el archivo como malicioso.

La firma de seguridad ha ejecutado el malware a través de Virus Total, lo que reveló que actualmente sólo nueve de los 59 escáneres antivirus de su base de datos han identificado con precisión el archivo como malicioso.

malware chrome