Nueva campaña de malware dirigida a Windows 10 explota Chrome

Se descubrió una nueva campaña de malware dirigida al sistema operativo Windows 10, la cual se ejecuta en navegadores Chrome. Los atacantes han utilizado una técnica llamada Control de cuentas de usuario (UAC) para eludir las protecciones de seguridad de Windows. Los investigadores de Rapid7 fueron los primeros en observar y alertar la campaña de […]

Se descubrió una nueva campaña de malware dirigida al sistema operativo Windows 10, la cual se ejecuta en navegadores Chrome. Los atacantes han utilizado una técnica llamada Control de cuentas de usuario (UAC) para eludir las protecciones de seguridad de Windows.

Los investigadores de Rapid7 fueron los primeros en observar y alertar la campaña de malware en curso.

El objetivo de la campaña es obtener datos sensibles y robar criptomonedas de los sistemas infectados. Los atacantes utilizan un archivo malicioso llamado HoxLuSfo.exe con código ofuscado para robar credenciales.
El malware apunta y mata los procesos Google, Microsoft Edge y setu.

Bypass UAC

Los atacantes aprovechan una vulnerabilidad de la utilidad ”Liberador de espacio en disco” en algunas versiones de Windows 10 para evitar el Control de Cuentas de Usuario (UAC).

Esto permite que una tarea programada nativa ejecute código arbitrario alterando el contenido de una variable de entorno. Los atacantes han utilizado un comando de PowerShell lanzado por el ejecutable HoxLuSfo [.] Exe.

El ataque comienza cuando un usuario del navegador Chrome objetivo visita un sitio web malicioso y un servicio de anuncios del navegador le pide al usuario que realice una acción. Por lo general, se le solicita a la víctima que permita al sitio enviar solicitudes de notificación a través del navegador. Una vez que se permiten las notificaciones, se informa a la víctima que su navegador web Chrome debe actualizarse.

Los archivos del historial del navegador Chrome revelan redireccionamientos a dominios sospechosos y otros redireccionamientos antes de una infección inicial.

Esta parece ser una campaña de malware avanzada, ya que el malware usa código ofuscado y pasa por alto UAC. Además, la campaña está motivada financieramente y tiene como objetivo robar las credenciales del navegador y las criptomonedas. Se recomienda evitar los sitios desconocidos y hacer clic en enlaces sospechosos.