Conociendo los infostealers malware
Dentro del espectro de la inteligencia de amenazas cibernéticas, he observado en estos últimos meses un gran crecimiento de usuarios afectados con cuentas comprometidas por infostealers malware, exponiendo sus credenciales (usuarios, enlace y contraseña) personales y corporativas (cuentas bancarias, redes sociales, accesos a sistemas empresariales, de gobierno, etc).
Un ejemplo de esto, en una publicación del equipo de darktracer en abril del 2022 señalan que para esos momentos había unas 680.000 credenciales expuestas solo de argentinos.
Por ello escribo este artículo, el cual es meramente informativo, para que conozcan un poco sobre los infostealers y cuiden su información.
Infostealer malware:
Infostealers, es el nombre genérico de programas informáticos maliciosos que se introducen a través de internet en un ordenador o dispositivo móvil con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre, credenciales de acceso a sitios web, contraseñas, números de tarjetas bancarias o documentos con información clasificada. Asimismo, destacamos que gran parte de las variantes de este tipo de malware se comercializa por mercados negros o simplemente distribuyéndolos gratuitamente en múltiples canales de Telegram siguiendo el modelo de Malware-as-a-Service.
La última tendencia se enfoca además en la sustracción de billeteras de criptomonedas, un tipo de ataque que ha demostrado ser bastante lucrativo y escasamente regulado.
¿Cómo se infectan los usuarios?
Los métodos de infección de los usuarios están dados de acuerdo con el tipo de malware, sin embargo, entre ellos no suelen existir mucha variedad en sus métodos de acceso inicial a los equipos, pero la mayoría suelen estar dados por mecanismos de ingeniería social, logrando que el usuario voluntariamente sea quien ejecute el malware.
Otros métodos de infección posible:
También ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de vídeos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas.
Investigadores de ESET revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine stealer. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, y a su vez, permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.
¿Que se sustrae?
La información contenida en estos DataLeak pueden variar de acuerdo con los hábitos del usuario, ya que estos malware se enfocan directamente en el robo de credenciales guardadas principalmente en el navegador, portapapeles e historial.
Cada agrupación aplica diferentes características adicionales y distintivas, como han sido las recientes incorporaciones de funciones para capturar billeteras de criptomonedas de escritorio, de extensión en navegadores y cuentas asociadas a plataformas de intercambio de estas.
Si bien desde aquí es posible obtener la mayor cantidad de información, estos malware no solo capturan datos guardados sino que también son capaces de identificar información de la máquina como nombre, dominio, usuarios, IP, Sistema Operativo, CPU, GPU, RAM, capturas de pantalla, softwares instalados y sus versiones, junto a perfilar al usuario con datos georreferenciados y detallando exactamente con que nombre de malware fueron afectados, adjudicando un identificador único para ser reconocido posteriormente por los administradores y evitar duplicidades.
A continuación observamos cómo se ven algunos de los archivos txt disponibles gratuitamente en canales de telegram con la información de los usuarios infectados.
Conozcamos algunos de ellos:
Redline: RedLine Stealer, es un malware del tipo troyano, que se introducen a través de internet en una estación de trabajo con el propósito de obtener de forma fraudulenta información confidencial de la víctima, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.
RedLine Stealer no es un malware tan sofisticado como lo puede ser un ransomware. Tiene las características habituales típicas de esta familia. Sin embargo, este malware está escrito en C#, y la calidad del código es lo suficientemente alta como para intuir que la persona detrás de RedLine es un programador muy experimentado. Los ciberdelincuentes también trabajan duro para darle nuevas actualizaciones al malware, convirtiéndose principalmente en una gran herramienta para desplegar payloads y funciones de filtrar información avanzada.
Gracias a su simpleza, su bajo costo de licencia y factibilidad de operaciones, RedLine es uno de los malwares más usados por diferentes actores de amenazas para llevar a cabo sus operaciones en diferentes campañas de spam, sitios webs maliciosos, cracks y herramientas gratuitas por Internet.
Características de RedLine Stealer
Si quieren conocer más en profundidad sobre este stealer les dejo el siguiente artículo: TOP Malware Series: RedLine Stealer | CronUp Ciberseguridad
Meta Stealer: Fue identificado por primera vez en marzo de 2022, sin embargo, no ha sido hasta finales del mes de mayo donde se han visto las primeras afectaciones.
Recomendado por LinkedIn
El método de afectación de este malware es bastante común y se realiza principalmente mediante campañas de phishing con temática sobre transacciones bancarias que solicitan la descarga de un documento en Excel firmado por “DocuSign” que posteriormente ejecuta macros para implantar cargas útiles como DLL y ejecutables .exe, siendo esta última una extensión excluida de escaneos de Windows Defender mediante instrucciones PowerShell.
Para detalles técnicos: Metastealer – llenando el vacío de Racoon – NCC Group Research
Vidar stealer: La familia de malware Vidar, que se identificó por primera vez en 2018, es capaz de robar datos confidenciales del PC de la víctima. Esto incluye información bancaria, contraseñas guardadas, direcciones IP, historial del navegador, credenciales de inicio de sesión y billeteras criptográficas, que luego se pueden transferir al Comando y Control (C&C) de las TA.
Vidar Stealer se disfraza principalmente como un software de activación de Windows. Debido a que el producto de Windows es caro, muchas personas descargan software de activación ilegal para usarlo de forma gratuita. Además de Windows, muchos casos se disfrazan de un software comercial agrietado, software keygen, etc. Los usuarios pueden reconocer el riesgo del software, ya que la mayoría de las soluciones pueden detectar y alertar a los usuarios, pero tienden a ignorarlos y ejecutarlos asumiendo su propio riesgo.
Para más detalles técnicos: Cyble — Vidar Stealer Under the Lens: A Deep-dive Analysis
AZ0Rult: El malware AZORULT se descubrió por primera vez en 2016 como un ladrón de información que roba el historial de navegación, cookies, ID / contraseñas, información de criptomonedas y más. También puede actuar como un descargador de otro malware. Se vendía en foros clandestinos rusos para recopilar varios tipos de información confidencial de una computadora infectada. Una variante de este malware fue capaz de crear una nueva cuenta de administrador oculta en la máquina para establecer una clave de registro para establecer una conexión de Protocolo de escritorio remoto (RDP).
Los kits de exploits como Fallout Exploit Kit (EK) y los correos de phishing con técnica de ingeniería social son ahora los principales vectores de infección del malware AZORult. Otras familias de malware como Ramnit y Emotet también descargan AZORult.
Informe detallado: Azorult Malware - Trend Micro
BlackGuard: infostealer sofisticado anunciado para la venta. Blackguard se vende actualmente como malware as a service, con un precio de por vida de $700 y un precio mensual de $200 dolares.
BlackGuard tiene la capacidad de robar todo tipo de información relacionada con billeteras Crypto, VPN, credenciales FTP, credenciales de navegador guardadas y clientes de correo electrónico.
Análisis técnico completo: Análisis de BlackGuard - Info Stealer Malware | Zscaler Blog
Raccoon Stealer V.2.0: Uno de los RAT (Remote Access Tools) más conocidos y utilizados en Internet, Raccoon Stealer, apareció con una nueva versión que actualmente se encuentra circulando por el bajo mundo de los foros de hacking y estaría ofreciendo a los interesados una mayor funcionalidad de robo de contraseñas y una capacidad operativa mejorada, a comparación de su primera versión que en teoría había desaparecido.
Los datos que extrae Raccoon Stealer 2.0 del equipo de la víctima son los siguientes:
Informe técnico completo: Raccoon Stealer v2 - Part 1: The return of the dead (sekoia.io)
Arkei Stealer: Es una variante del malware infostealer y su funcionalidad es similar al malware Azorult: roba información confidencial, credenciales y claves privadas a las billeteras de criptomonedas. El malware se vende en foros clandestinos, y cualquiera puede adquirir y usar tanto la versión "legítima" como la versión crackeada de Arkei Stealer, lo que dificulta la atribución de ataques.
El ciberataque más ruidoso utilizando este infostealer puede considerarse el hackeo de la cuenta de GitHub de uno de los desarrolladores de la criptomoneda Syscoin y el compromiso del repositorio oficial del proyecto en 2018 cuando los atacantes reemplazaron el cliente oficial de Windows publicado en GitHub con una versión maliciosa con el Arkei Stealer incorporado, que pasó desapercibido durante varios días.
Al acceder a dicha información, los ciberdelincuentes pueden causar pérdidas financieras significativas y otros problemas.
Informe técnico de la última versión: Threat Thursday: Arkei Infostealer Expands Reach Using SmokeLoader to Target Crypto Wallets and MFA (blackberry.com)
Strela Stealer: se trata de un nuevo stealer que está robando activamente credenciales de cuentas de correo electrónico de Outlook y Thunderbird, dos clientes de correo electrónico ampliamente utilizados.
El malware previamente desconocido fue descubierto por analistas deDCSO CyTec, quienes informan que lo vieron por primera vez en la naturaleza a principios de noviembre de 2022, dirigido a usuarios de habla hispana.
Detalles: Nuevo malware StrelaStealer roba tus cuentas de Outlook y Thunderbird (bleepingcomputer.com)
Estos fueron los infostealers más conocidos pero existen una amplia variedad como por ejemplo fickerstealer, loki stealer, Aurora, VipersoftX y otros creados para dispositivos android.
Recomendaciones
Ethical Hacker | Analista Sr Cibertinteligencia en Grupo Vazquez | # Ciberinteligencia #Biotecnologia #Ciberterrorismo #Ciberdelitos
2 añosMuy bueno Braian, Excelente articulo.