Cookiethief, el troyano que roba cookies de navegadores y redes sociales

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Las cookies, cuestión que hemos abordado en varias ocasiones, son pequeños archivos de texto, fragmentos de datos recopilados por las páginas web para rastrear la actividad online de los usuarios con el objetivo de crear experiencias personalizadas en el futuro. Aunque a menudo se perciben como una molestia inofensiva, si caen en las manos equivocadas pueden suponer un riesgo para la seguridad.

Esto se debe, como explica Kaspersky, a que, cuando las páginas web almacenan estas cookies, utilizan una ID de sesión única que reconoce al usuario en el futuro sin la necesidad de emplear una contraseña o un nombre. Una vez en posesión del ID de un usuario, los estafadores pueden engañar a las webs para que piensen que son la víctima y tomar el control de su cuenta. Y esto es exactamente lo que hicieron estos ladrones de cookies al desarrollar troyanos con una codificación similar y controlados por el mismo servidor de comando y control (C&C).

El primer troyano adquiere los derechos root en el dispositivo de la víctima, lo que permite trasladar las cookies de Facebook a sus propios servidores. No obstante, a menudo, el simple hecho de disponer del ID no es suficiente para tomar el control de una cuenta, ya que algunos sitios web cuentan con medidas de seguridad que impiden los intentos de registro sospechosos. Por ejemplo, si un usuario, que estaba activo hace escasos minutos desde Chicago, intentara entrar a continuación desde Bali. Es entonces donde entra en acción el segundo troyano. “Esta aplicación maliciosa puede ejecutar un servidor proxy en el dispositivo de la víctima para eludir las medidas de seguridad, accediendo sin sospechas. A partir de ahí, los ciberdelincuentes pueden hacerse pasar por la víctima y tomar el control de su cuenta en la red social para distribuir contenido no deseado”, explica la firma de seguridad. 

Si bien el objetivo final de los ladrones de cookies sigue siendo desconocido, una página descubierta en el mismo servidor de C&C podría dar una pista: esta página anuncia servicios para distribuir spam en redes sociales y programas de mensajería. Dicho de otro modo, los ladrones pueden estar buscando el acceso a la cuenta como una forma de lanzar ataques generalizados de spam y phishing.

Según Igor Golovin, analista de malware, “aunque se trata de una amenaza relativamente nueva, hasta ahora solamente se han visto afectados 1.000 usuarios, el número está creciendo y es muy probable que siga haciéndolo, sobre todo porque es muy difícil que las páginas web lo detecten”.

Consejos del especialista

-- Bloquear el acceso de terceros a las cookies en el navegador web y permitir únicamente que sus datos se guarden hasta que salga del navegador.

-- Borrar periódicamente sus cookies.

-- Utilizar una solución de seguridad fiable que incluya una función de Navegación Privada (en el caso de este proveedor, recomienda la suya, Kaspersky Security Cloud.