El malware Meduza ataca a navegadores y gestores de contraseñas
Se ha descubierto un nuevo malware apodado Meduza Stealer dirigido a sistemas operativos Windows, e identificado como un ladrón de información de un gran número de navegadores, gestores de contraseñas y carteras de criptomonedas.
Meduza Stealer aún no se ha asociado a ningún ataque específico. Sin embargo, se sospecha que el malware se propaga a través de métodos comunes utilizados por los ladrones de información, como sitios web comprometidos y correos electrónicos de phishing.
Una vez que se inicia Meduza Stealer, Meduza Stealer inicia una comprobación de geolocalización mediante la función GetUserGeoID de Windows. A continuación, el malware deja de funcionar si el sistema se encuentra en uno de los diez países específicos, incluidos Rusia, Kazajstán y Bielorrusia. En otros países, comienza a recopilar información básica sobre el sistema infectado, como el nombre del ordenador, detalles de CPU/GPU/RAM/Hardware, versión del sistema operativo, zona horaria y hora actual, y realiza una captura de pantalla.
A continuación, Meduza Stealer busca datos en la carpeta de datos de usuario, buscando información relacionada con el navegador, como el historial del navegador, las cookies, los inicios de sesión y los datos web. Alrededor de 97 variantes de navegadores como Chrome, Firefox, Microsoft Edge, Chromium, Amigo, URBrowser, Vivaldi, Kameta, UCBrowswe, NETGATE y muchos otros están en la lista de objetivos.
El malware también ataca a 19 gestores de contraseñas, incluyendo Authenticator 2FA, Trezor Password Manager, LastPass, 1Password, Authy, GAuth Authenticator, Dashlane Password Manager, Bitwarden Password Manager, Nord Pass, Keeper Password Manager, RoboForm y otros. Se dirige específicamente a las extensiones asociadas con la autenticación de dos factores y los gestores de contraseñas con la intención de extraer datos.
Además, Meduza Stealer demuestra un interés específico en los monederos de criptomonedas al intentar extraer extensiones de monederos de navegadores web que facilitan la gestión de activos de criptomonedas. Estas extensiones ofrecen funciones para supervisar los saldos de las cuentas y realizar transacciones directamente en navegadores como Chrome y Firefox.
Según Uptycs Threat Research, el administrador de Meduza Stealer también está utilizando sofisticados métodos de marketing para difundir el virus a través de numerosos sitios de ciberdelincuentes. Para tentar a los compradores potenciales, el administrador muestra capturas de pantalla que demuestran la capacidad del malware para evitar ser detectado por el software antivirus. El esfuerzo de marketing también proporciona acceso a los datos robados a través de un panel web, con varias opciones de membresía disponibles en varios rangos de precios.
Las fuentes de este artículo incluyen un artículo en TechRepublic.