El Laboratorio de Investigación de Eset Latinoamérica, compañía de detección proactiva de amenazas, alertó recientemente sobre la aparición de un nuevo código malicioso que afecta a sistemas operativos Windows y que se disfraza como una extensión de seguridad para Google Chrome. Esta amenaza, identificada por las soluciones de Eset como JS/Spy.Banker.CV, corresponde a un infostealer con la capacidad de robar información sensible de los usuarios y modificar sitios web financieros sin que siquiera lo noten
Según el equipo de análisis de Eset, el malware se ha detectado principalmente en México, aunque su alcance podría extenderse a otros países de la región. Su método de propagación es el envío de archivos comprimidos adjuntos en correos electrónicos que aparentan ser comunicaciones legítimas de instituciones financieras reconocidas. Este tipo de técnica, ampliamente utilizada en campañas de phishing, busca ganarse la confianza del destinatario para que ejecute el archivo y permita la instalación del programa malicioso.
Vea más: El pequeño error que colapsó internet: cómo una falla paralizó servicios globales
Durante la investigación, los especialistas identificaron que el código del malware contiene palabras y variables en portugués, lo que evidencia que su desarrollo y distribución trascienden fronteras y podría tener origen o colaboración en distintos países de América Latina.
Una vez instalado, el infostealer cuenta con la capacidad de detectar cuando el usuario navega en una página financiera. A través del análisis de patrones comunes en los portales bancarios, el malware modifica el DOM (Document Object Model) del sitio, alterando su estructura visual y funcional sin que el usuario perciba el cambio. De esta forma, logra insertar formularios falsos que imitan la apariencia real de la página, capturando toda la información que la víctima ingrese -como contraseñas, datos bancarios o credenciales- y enviándola a un servidor controlado por los ciberdelincuentes.
Navegador
Benjamin Dada – Unsplash
Además, el código malicioso puede sustituir direcciones de billeteras de criptomonedas o datos de pago registrados en el sistema del usuario por aquellos pertenecientes a los atacantes. Este mecanismo le permite redireccionar fondos de manera automática, generando pérdidas económicas directas para las víctimas y un beneficio inmediato para los responsables del ataque.
Vea más: Enfriamiento líquido se consolida como la tecnología clave para los centros de datos
“Estamos ante un infostealer con capacidades avanzadas para robar información sensible cuando la víctima completa un formulario en una página web. Al poder modificar los datos de pago o incluso la wallet del usuario, demuestra que los cibercriminales actúan con un claro objetivo financiero. Esta amenaza trasciende fronteras y aprovecha la reputación de instituciones financieras en toda la región”, explicó Mario Micucci, Investigador de Seguridad Informática de Eset Latinoamérica.
Durante el proceso de análisis, el laboratorio de Eset identificó dentro de la extensión maliciosa dos archivos JavaScript responsables de robar información, manipular visualmente los sitios web visitados y exfiltrar los datos hacia servidores de Comando y Control (C2). Estos componentes actúan de forma coordinada para recopilar credenciales, información personal y datos financieros, que luego son enviados a los atacantes sin dejar rastros visibles en el equipo de la víctima.
Perplexity ofreció US$34.500 millones para comprar Chrome, el navegador de Google.
iStock
Vea más: La Unión Europea acusa a Meta y TikTok de incumplir la Ley de Servicios Digitales
Eset advierte que este tipo de amenazas sigue evolucionando en sofisticación, especialmente aquellas que se hacen pasar por herramientas de seguridad o software legítimo. En este caso, el hecho de que se presente como una extensión de seguridad para Chrome aumenta su nivel de engaño, ya que muchos usuarios confían en las herramientas de protección del navegador sin verificar su procedencia.
La compañía recomienda no abrir archivos adjuntos de correos electrónicos sospechosos, aun si provienen de supuestas entidades bancarias, y verificar siempre las extensiones antes de instalarlas. También sugiere mantener actualizado el sistema operativo y el antivirus, y utilizar soluciones de seguridad con protección en tiempo real capaces de detectar este tipo de infostealers.
El caso de JS/Spy.Banker.CV es un nuevo recordatorio del creciente profesionalismo de las redes de ciberdelincuencia en América Latina, que cada vez más recurren a la ingeniería social, el robo de datos financieros y la suplantación de marcas de confianza para obtener beneficios económicos. Frente a este escenario, la ciberseguridad se consolida como una prioridad tanto para los usuarios individuales como para las empresas que operan en la región.
Vea más: Cómo funcionan… las cajas negras de los aviones y por qué nunca se dañan
“Durante el análisis notamos que la extensión maliciosa de Internet Google Chrome, persiste en la maquina víctima. Las muestras que contienen la extensión operan de manera sincronizada. Mientras una recolecta datos sensibles, la otra manipula el entorno visual del usuario para inducir a errores o desviar transferencias. Todas las interacciones son canalizadas a dominios maliciosos comunes. Es importante mencionar que esta persistencia actúa sobre el navegador afectado, puntualmente el malware se va a ejecutar cada vez que el mismo este en uso por la víctima”, agregó Micucci.
Al examinar el archivo, se detectó una manipulación visual dirigida a sitios bancarios. Eset halló patrones recurrentes en páginas vinculadas a bancos o a procesos de pago -términos como “CPF”, “CNPJ” y “valor”- que el malware utiliza para alterar el DOM y engañar al usuario. Entre sus tácticas está la sustitución de datos legítimos por información controlada por los atacantes.
Concretamente, el código inspecciona el contenido del en busca de textos asociados a depósitos bancarios (por ejemplo, “epósito”, “CPF”, “Valor”); si identifica palabras como “depósito”, “CPF/CNPJ” o fragmentos de “Valor” como “alor”, procede a inyectar su lógica maliciosa.
Vea más: Las tecnológicas libran una nueva batalla: la del navegador impulsado por IA
Dado el uso de estas capacidades avanzadas de manipulación visual -dirigidas sobre todo a usuarios en entornos financieros- junto con una arquitectura modular y técnicas de evasión, resulta imprescindible aplicar contramedidas específicas para su correcta detección.
