Los usuarios de Google Chrome fueron víctimas de la recolección secreta de logins y contraseñas.
Investigadores de la empresa Sophos descubrieron un ataque utilizando el ransomware Qilin, en el cual los delincuentes robaron datos de cuentas almacenados en el navegador Google Chrome en varios dispositivos comprometidos.
El incidente fue identificado en julio de 2024 y atrajo la atención de los expertos por su inusual combinación de métodos: el robo de credenciales seguido de la infección con ransomware, lo que podría tener graves consecuencias.
El ataque comenzó con la penetración en la red de la organización objetivo a través de credenciales comprometidas para acceder al portal VPN, que no estaba protegido por autenticación multifactor (MFA). Los delincuentes no tomaron más acciones hasta 18 días después de la brecha inicial.
Una vez que los criminales obtuvieron acceso al controlador de dominio, realizaron cambios en la política del dominio, añadiendo dos objetos de políticas de grupo (GPO). El primero de ellos es un script de PowerShell llamado «IPScanner.ps1», destinado a recolectar datos de cuentas almacenados en el navegador Chrome. El segundo es un script por lotes («logon.bat»), que activa la ejecución del primer script.
Según la investigación, este objeto de políticas de grupo permaneció activo en la red durante más de tres días. Durante ese tiempo, los usuarios, sin sospechar lo que estaba ocurriendo, ejecutaban el script cada vez que iniciaban sesión, permitiendo la recolección de sus credenciales.
Los delincuentes robaron estos datos, luego borraron sus rastros y encriptaron archivos en el sistema, dejando una nota de rescate en cada carpeta. El hecho del robo implica que los usuarios afectados ahora deben cambiar sus contraseñas en todos los servicios externos donde usaron las credenciales comprometidas.
Los expertos de Sophos señalan que los grupos que utilizan ransomware continúan modificando sus métodos y ampliando su arsenal de técnicas. Si los delincuentes comienzan a recolectar sistemáticamente las credenciales almacenadas en los dispositivos finales, esto podría abrir una nueva y peligrosa página en la historia de la ciberdelincuencia.