Los investigadores de seguridad informática de la firma Radware han descubierto un nuevo método de robo de datos a través de Google Chrome y Facebook. En concreto, se trata de un troyano que recopila información de inicio de sesión del navegador y todo parece indicar que también busca las credenciales de Facebook de los usuarios.
El nombre de este troyano es Stresspaint, y ha sido hallado dentro de una app gratuita de Windows llamada Relieve Stress Paint, que se distribuye a través del sitio aol.net. Parece tratarse de una app de dibujos legítima, sin embargo, cuando los usuarios comienzan a usarla también ejecuta archivos en segundo plano. En concreto, la app ejecuta dos ficheros:
- Temp \\ DX.exe, que consiste en el módulo principal de Stresspaint.
- Temp \\ updata.dll, que posiblemente es utilizado para el robo de cookies de navegación y las credenciales de Facebook.
Posteriormente, el malware crea una clave de registro de Windows para hacerse con la persistencia de arranque y ejecutar el archivo DX.exe con cada arranque de la PC. Asimismo, crea otra clave de registro que contiene el GUID de cada usuario infectado a través de una clave de 5 letras y números aleatorios.
Luego, Stresspaint hace copias de las bases de datos de las cookies y la información de inicio de sesión de Chrome, que almacena en un par de ubicaciones dentro del equipo. Así, el troyano realiza copias de estos archivos para luego ejecutar todas las operaciones necesarias con el fin de sustraer las claves de inicio de sesión y las cookies del navegador de los usuarios, Finalmente, el malware cifra estos datos y los sube a un panel de control en idioma chino.
Los investigadores afirman que, de momento, Stresspaint ha logrado afectar a más de 35,000 usuarios, la mayoría de ellos residentes de Vietnam, Pakistán y Rusia. Por su parte, la app de dibujos que esconde el troyano comenzó a distribuirlo hace apenas unos días, pese a que está operativa desde principios de abril.
