Este malware invisible secuestra páginas de compra utilizando URLs confiables de Google, y nunca te darás cuenta.
Se está utilizando el enlace OAuth de Google para llevar a cabo ataques dinámicos.
Un nuevo tipo de malware ha emergido, mostrando cómo los atacantes están aprovechando dominios de confianza, como Google.com, para eludir las defensas tradicionales de antivirus. Este enfoque permite que el malware se active en momentos críticos, como durante el proceso de pago en línea, lo que lo convierte en una amenaza sigilosa.
La campaña se origina a partir de un sitio de comercio electrónico basado en Magento que ha sido comprometido. Inicia con un script que hace referencia a una URL aparentemente inocente de cierre de sesión de Google OAuth: https://accounts.google.com/o/oauth2/revoke. Sin embargo, esta URL contiene un parámetro de retorno modificado que decodifica y ejecuta una carga útil maliciosa a través de JavaScript obfuscado.
El uso del dominio de Google es fundamental en esta estafa, ya que la carga del script desde una fuente confiable generalmente permite que pase desapercibido por la mayoría de las políticas de seguridad de contenido (CSP) y filtros de DNS. Este script solo se activa bajo ciertas condiciones: si el navegador parece automatizado o si la URL contiene la palabra "checkout", se abre silenciosamente una conexión WebSocket hacia un servidor malicioso. Esto permite que el comportamiento del malware se ajuste a las acciones del usuario.
La carga maliciosa que se envía a través de esta conexión WebSocket está codificada en base64, y se ejecuta dinámicamente utilizando el constructor de funciones de JavaScript. De este modo, el atacante puede ejecutar código en el navegador en tiempo real. Uno de los aspectos que hace que este ataque sea efectivo es su habilidad para evadir muchos de los programas antivirus más avanzados disponibles, debido a que su lógica está fuertemente ofuscada y solo se activa bajo ciertas condiciones. Esto hace que sea poco probable que los mejores escáneres de malware y antivirus para Android puedan detectarlo.
Los filtros de DNS o las reglas de firewall también ofrecen una protección limitada, dado que la solicitud inicial se dirige a un dominio legítimo de Google. En entornos empresariales, incluso algunas de las herramientas de protección de endpoints más efectivas pueden tener dificultades para detectar esta actividad si dependen en gran medida de la reputación del dominio o no inspeccionan la ejecución dinámica de scripts dentro de los navegadores. Aunque los usuarios avanzados y los equipos de ciberseguridad pueden utilizar proxies de inspección de contenido o herramientas de análisis de comportamiento para identificar anomalías, los usuarios promedio siguen siendo vulnerables.
Para reducir el riesgo, se sugiere limitar los scripts de terceros, separar las sesiones de navegador utilizadas para transacciones financieras y mantener una vigilancia constante sobre comportamientos inesperados en los sitios web.