Hackers esconden malware en Google.com, evadiendo antivirus

Una nueva campaña de malware basada en navegadores ha surgido, mostrando cómo los atacantes están explotando dominios confiables como Google.com para eludir las defensas tradicionales de antivirus. Según un informe de los investigadores de seguridad de c/side, este método es sutil, se activa bajo condiciones específicas y es difícil de detectar tanto para los usuarios como para el software de seguridad convencional.

El ataque comienza con un script embebido en un sitio de comercio electrónico basado en Magento que hace referencia a una URL de OAuth aparentemente inofensiva de Google: https://accounts.google.com/o/oauth2/revoke. Sin embargo, esta URL, que parece legítima, ejecuta un payload malicioso de manera oculta, proporcionando acceso completo a la sesión del navegador del usuario.

Este malware solo se activa durante el proceso de pago en línea, convirtiéndose en una amenaza silenciosa que afecta las transacciones. El script establece una conexión WebSocket para control en tiempo real, lo que lo hace completamente invisible para el usuario promedio. Este nuevo enfoque pone en riesgo la seguridad de los pagos en línea sin que los usuarios se den cuenta.