Vulnerability Team

Cuando un usuario de internet inicia sesión en alguna aplicación web generalmente necesita colocar su nombre de usuario y contraseña. Como sabemos, los navegadores actuales permiten guardar la contraseña para no tener que estar colocándola cada vez que se quiere iniciar sesión, pero esta ventaja puede convertirse en un dolor de cabeza, ya que según indican la mayoría de los investigadores de seguridad, las contraseñas guardadas en los mismos son fáciles de extraer con el malware apropiado.

El programa malicioso Trojan-PWS-NSlog, descubierto por la compañía de seguridad Webroot, permite extraer las contraseñas guardadas en los navegadores Firefox e Internet Explorer. El método utilizado para conseguir las contraseñas de Firefox no es usual, ya que no utiliza los comunes keyloggers. Según indica el investigador Andrew Brandt, el troyano modifica unas pocas líneas de código en el archivo nsLoginManagerPrompter.js, eliminando la pregunta al usuario sobre si desea guardar la contraseña ingresada, guardándola sin ningún tipo de confirmación. De este modo todas las contraseñas son guardadas en el repositorio del navegador. Posteriormente el troyano envia todas las credenciales recopiladas a un dominio de internet, que ya ha sido cerrado, y una cuenta de correo con origen en Irán, que todavía está activa.

Se ha comprobado que se puede modificar el archivo Javascript responsable del fallo en las versiones actuales de Windows y Ubuntu, aunque el uso de cuentas de usuario con privilegios limitados impide esta modificación, y por tanto limita el número de contraseñas extraídas por el troyano.
Solución:

Webroot indica que este troyano es fácilmente identificable y que lo pueden eliminar. Además, una simple actualización o reinstalación del navegador puede resolver el problema de guardado automático de contraseñas.

fuente: csirtcv.es