Los hackers a menudo recurren a la táctica de esconder un malware dentro de archivos o programas que aparentan ser legítimos. De esta manera, pueden engañar a las víctimas para que instalen una aplicación para realizar tareas cotidianas. En este caso, han camuflado un malware de editor PDF con el fin de secuestrar el navegador y robar credenciales.
En este artículo, te explicaremos en qué consiste esta campaña maliciosa, cómo puede afectarte y qué medidas puedes tomar para protegerte. También te proporcionaremos recomendaciones útiles para evitar caer en la trampa de este malware específico y de otros similares que podrían comprometer tu privacidad y seguridad.
Editor de PDF falso
Esta campaña de malware se conoce como TamperedChef. Los cibercriminales han simulado un editor de archivos PDF, aunque en realidad es un fraude. Ha sido detectada por el Grupo de Inteligencia e Investigación de Amenazas Estratégicas de WithSecure, una empresa especializada en ciberseguridad, como se menciona en el informe técnico publicado el 3 de octubre.
Con este ataque sofisticado, se han visto afectadas organizaciones europeas en diversos países. Todo comienza cuando la víctima busca instalar una aplicación para editar archivos PDF. Este malware se disfraza de un software gratuito para editar PDF.
La distribución de la carga útil maliciosa se realiza a través de un instalador de Microsoft o MSI. Este instalador presenta un cuadro de diálogo para el acuerdo de licencia que parece legítimo, y puede eludir las medidas de seguridad, permitiendo su instalación incluso sin privilegios administrativos.
El informe técnico de WithSecure indica que este malware se asegura de ejecutarse automáticamente cada vez que se inicia el sistema. Esta persistencia permite a los atacantes recolectar información con el tiempo, robando datos sensibles del navegador como contraseñas almacenadas, cookies de sesión y datos de autocompletado. Afecta a navegadores populares como Google Chrome y Mozilla Firefox.
Un aspecto que incrementa el peligro de esta amenaza es que el programa opera como lo haría un editor PDF legítimo, lo que lleva a la víctima a no sospechar que está bajo un ataque cibernético. Así, el malware puede permanecer en el sistema durante mucho tiempo, robando credenciales e información personal.
En muchos casos, este tipo de amenazas no actúan de inmediato. Se mantienen en el sistema sin dar señales de alerta y, más adelante, pueden tener un impacto real al robar información o contraseñas, pudiendo permanecer inactivos durante meses.
Ficha técnica de TamperedChef
| Característica | Descripción | Impacto para el Usuario |
|---|---|---|
| Vector de Infección | Instaladores de Microsoft (.MSI) que se hacen pasar por editores de PDF gratuitos. | El usuario se infecta al intentar instalar un programa que parece útil desde fuentes no oficiales. |
| Táctica de Evasión | El software malicioso funciona como editor de PDF, evitando que se levanten sospechas. | La víctima no percibe el ataque, lo que permite que el malware opere durante largos períodos. |
| Objetivo Principal | Robo de credenciales, cookies y datos de sesión almacenados en navegadores. | Pérdida de acceso y control sobre cuentas bancarias, redes sociales y correos electrónicos. |
| Persistencia | Se configura para ejecutarse automáticamente cada vez que se inicia el sistema. | El robo de información es continuo y recurrente sin necesidad de nuevas acciones del usuario. |
Protégete
Para evitar caer en este tipo de estafas, es crucial aplicar el sentido común. En este caso, el malware se introduce a través de una aplicación que simula ser un editor PDF y que incluso puede funcionar como tal. En general, este tipo de software malicioso suele encontrarse en sitios de terceros o en páginas de descargas de software pirata. Presta atención a los ataques de Phishing. Según el INCIBE, el Instituto Nacional de Ciberseguridad de España, el Phishing es uno de los problemas más graves en la actualidad.
Es fundamental que siempre instales aplicaciones desde fuentes oficiales. Verifica que accedes a la web oficial del programa o utiliza tiendas de aplicaciones confiables, como Google Play, que realizan un filtrado previo. Nunca descargues desde sitios de terceros, ya que podría tratarse de una estafa. Te sugerimos utilizar VirusTotal para comprobar la legitimidad de un sitio; este servicio gratuito te permitirá hacer una segunda verificación, aunque no es infalible.
Además, es recomendable mantener una adecuada protección de tu dispositivo. Asegúrate de que esté actualizado. Es vital corregir cualquier vulnerabilidad que pueda existir, ya que los hackers suelen aprovecharse de ellas. En sistemas operativos Windows, es esencial estar siempre al día con las actualizaciones, y lo mismo aplica a los navegadores web; aplica las actualizaciones lo antes posible para evitar problemas. Tener un buen antivirus también puede ayudarte a detectar y eliminar malware. Programas como Microsoft Defender, Avast o Bitdefender son buenas opciones. En el caso de Windows, consideramos que Microsoft Defender es más que suficiente para la mayoría de los usuarios, ya que es gratuito, se integra perfectamente con el sistema y tiene funciones para mitigar el ransomware.
Como medida adicional, es aconsejable no almacenar contraseñas en el navegador. Esto te expone a ataques como el mencionado, donde el malware puede acceder a las credenciales guardadas. Es mucho más seguro utilizar un gestor de contraseñas como Bitwarden, aunque otros como KeePass también son muy recomendables. Una vez que comiences a usar un gestor de contraseñas, asegúrate de borrar todas las credenciales almacenadas en el navegador web para protegerte contra posibles ataques de infostealers.
Preguntas frecuentes
¿Cómo puede llegar este tipo de malware?
Puede llegar a tu equipo al descargar un programa desde un sitio no oficial, o a través de un enlace recibido por correo o redes sociales.
¿Me protege un antivirus?
Un antivirus puede ser útil para detectar y eliminar malware, pero no te protegerá completamente. Es importante combinarlo con otras medidas, como tener las últimas versiones y solo instalar desde fuentes oficiales.
¿Qué hago si creo que he sido víctima de este ataque u otro similar?
Es crucial que cambies tus contraseñas de inmediato, analices el sistema y elimines cualquier archivo que pueda ser fraudulento.
