Dentro del espectro de la inteligencia de amenazas cibernéticas, he observado en estos últimos meses un gran crecimiento de usuarios afectados con cuentas comprometidas por infostealers malware, exponiendo sus credenciales (usuarios, enlace y contraseña) personales y corporativas (cuentas bancarias, redes sociales, accesos a sistemas empresariales, de gobierno, etc). 

Un ejemplo de esto, en una publicación del equipo de darktracer en abril del 2022 señalan que para esos momentos había unas 680.000 credenciales expuestas solo de argentinos.

https://twitter.com/darktracer_int/status/1514160005947490307 

Por ello escribo este artículo, el cual es meramente informativo, para que conozcan un poco sobre los infostealers y cuiden su información.

Infostealer malware:

Infostealers, es el nombre genérico de programas informáticos maliciosos que se introducen a través de internet en un ordenador o dispositivo móvil con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre, credenciales de acceso a sitios web, contraseñas, números de tarjetas bancarias o documentos con información clasificada. Asimismo, destacamos que gran parte de las variantes de este tipo de malware se comercializa por mercados negros o simplemente distribuyéndolos gratuitamente en múltiples canales de Telegram siguiendo el modelo de Malware-as-a-Service.

La última tendencia se enfoca además en la sustracción de billeteras de criptomonedas, un tipo de ataque que ha demostrado ser bastante lucrativo y escasamente regulado.

¿Cómo se infectan los usuarios?

Los métodos de infección de los usuarios están dados de acuerdo con el tipo de malware, sin embargo, entre ellos no suelen existir mucha variedad en sus métodos de acceso inicial a los equipos, pero la mayoría suelen estar dados por mecanismos de ingeniería social, logrando que el usuario voluntariamente sea quien ejecute el malware.

Otros métodos de infección posible:

  • Acceso mediante troyanos: Este método se basa en utilizar una aplicación o algún elemento que requiera ejecución y que previamente se le ha incorporado código para ejecutar el malware en segundo plano mientras presenta las características o prestaciones deseadas sin sospechar de que se está sustrayendo información por el sistema, como por ejemplo la adquisición de programas crackeados que disponen de prestaciones completas sin requerir pagar membresías o licencias, por lo que suelen ser bastante atractivos para los usuarios que no conocen las posibles consecuencias y que además de prestarle un uso recurrente, permiten brindarle persistencia al malware, ya que para eliminarlo es necesario también el software deseado.
  • Acceso mediante phishing: Es conocido el acceso a sistemas para diferentes fines mediante campañas de phishing, ya sean dirigidas o genéricas, las cuales en ambos casos se aprovechan de la ingeniería social para lograr que mediante algún correo alarmante o que invita a tomar acción, se abran los documentos adjuntos enviados y terminen por descargar y ejecutar el malware.

También ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de vídeos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas. 

Investigadores de ESET revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine stealer. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, y a su vez, permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.

¿Que se sustrae?

La información contenida en estos DataLeak pueden variar de acuerdo con los hábitos del usuario, ya que estos malware se enfocan directamente en el robo de credenciales guardadas principalmente en el navegador, portapapeles e historial.

Cada agrupación aplica diferentes características adicionales y distintivas, como han sido las recientes incorporaciones de funciones para capturar billeteras de criptomonedas de escritorio, de extensión en navegadores y cuentas asociadas a plataformas de intercambio de estas.

Si bien desde aquí es posible obtener la mayor cantidad de información, estos malware no solo capturan datos guardados sino que también son capaces de identificar información de la máquina como nombre, dominio, usuarios, IP, Sistema Operativo,  CPU, GPU, RAM, capturas de pantalla, softwares instalados y sus versiones, junto a perfilar al usuario con datos georreferenciados y detallando exactamente con que nombre de malware fueron afectados, adjudicando un identificador único para ser reconocido posteriormente por los administradores y evitar duplicidades.

A continuación observamos cómo se ven algunos de los archivos txt disponibles gratuitamente  en canales de telegram con la información de los usuarios infectados.

Conozcamos algunos de ellos:

Redline: RedLine Stealer, es un malware del tipo troyano, que se introducen a través de internet en una estación de trabajo con el propósito de obtener de forma fraudulenta información confidencial de la víctima, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.

RedLine Stealer no es un malware tan sofisticado como lo puede ser un ransomware. Tiene las características habituales típicas de esta familia. Sin embargo, este malware está escrito en C#, y la calidad del código es lo suficientemente alta como para intuir que la persona detrás de RedLine es un programador muy experimentado. Los ciberdelincuentes también trabajan duro para darle nuevas actualizaciones al malware, convirtiéndose principalmente en una gran herramienta para desplegar payloads y funciones de filtrar información avanzada.

Gracias a su simpleza, su bajo costo de licencia y factibilidad de operaciones, RedLine es uno de los malwares más usados por diferentes actores de amenazas para llevar a cabo sus operaciones en diferentes campañas de spam, sitios webs maliciosos, cracks y herramientas gratuitas por Internet.

Características de RedLine Stealer

  • Extraer las credenciales del dispositivo.
  • Extraer las Cookies del navegador.
  • Extraer las credenciales guardadas en el navegador.
  • Extraer información de los campos autocompletados.
  • Identifica los componentes del sistema y el sistema de defensa implementado.
  • Despliega un Backdoor para establecer comunicación y acceso a la máquina.
  • Implementa una extensión maliciosa en el navegador para registrar toda la información que la víctima esté agregando, como un Keylogger y la posibilidad de tomar screenshot sin que el usuario se entere.
  • Robar Criptomonedas en diferentes Wallets.
  • Obtener información de todos los navegadores que se encuentren basados en Chromium y Gecko.

Si quieren conocer más en profundidad sobre este stealer les dejo el siguiente artículo: TOP Malware Series: RedLine Stealer | CronUp Ciberseguridad

Meta Stealer: Fue identificado por primera vez en marzo de 2022, sin embargo, no ha sido hasta finales del mes de mayo donde se han visto las primeras afectaciones.

El método de afectación de este malware es bastante común y se realiza principalmente mediante campañas de phishing con temática sobre transacciones bancarias que solicitan la descarga de un documento en Excel firmado por “DocuSign” que posteriormente ejecuta macros para implantar cargas útiles como DLL y ejecutables .exe, siendo esta última una extensión excluida de escaneos de Windows Defender mediante instrucciones PowerShell.

Para detalles técnicos: Metastealer – llenando el vacío de Racoon – NCC Group Research

Vidar stealer: La familia de malware Vidar, que se identificó por primera vez en 2018, es capaz de robar datos confidenciales del PC de la víctima. Esto incluye información bancaria, contraseñas guardadas, direcciones IP, historial del navegador, credenciales de inicio de sesión y billeteras criptográficas, que luego se pueden transferir al Comando y Control (C&C) de las TA.

Vidar Stealer se disfraza principalmente como un software de activación de Windows. Debido a que el producto de Windows es caro, muchas personas descargan software de activación ilegal para usarlo de forma gratuita. Además de Windows, muchos casos se disfrazan de un software comercial agrietado, software keygen, etc. Los usuarios pueden reconocer el riesgo del software, ya que la mayoría de las soluciones pueden detectar y alertar a los usuarios, pero tienden a ignorarlos y ejecutarlos asumiendo su propio riesgo.

Para más detalles técnicos: Cyble — Vidar Stealer Under the Lens: A Deep-dive Analysis

Análisis profundo de Vidar Stealer. Autor: hypen (Sojun Ryu) @ Talon | por S2W | BLOG | S2W Medio (medium.com)

AZ0Rult: El malware AZORULT se descubrió por primera vez en 2016 como un ladrón de información que roba el historial de navegación, cookies, ID / contraseñas, información de criptomonedas y más. También puede actuar como un descargador de otro malware. Se vendía en foros clandestinos rusos para recopilar varios tipos de información confidencial de una computadora infectada. Una variante de este malware fue capaz de crear una nueva cuenta de administrador oculta en la máquina para establecer una clave de registro para establecer una conexión de Protocolo de escritorio remoto (RDP).

Los kits de exploits como Fallout Exploit Kit (EK) y los correos de phishing con técnica de ingeniería social son ahora los principales vectores de infección del malware AZORult. Otras familias de malware como Ramnit y Emotet también descargan AZORult. 

Informe detallado: Azorult Malware – Trend Micro

BlackGuard: infostealer sofisticado anunciado para la venta. Blackguard se vende actualmente como malware as a service, con un precio de por vida de $700 y un precio mensual de $200 dolares.

BlackGuard tiene la capacidad de robar todo tipo de información relacionada con billeteras Crypto, VPN, credenciales FTP, credenciales de navegador guardadas y clientes de correo electrónico.

Análisis técnico completo: Análisis de BlackGuard – Info Stealer Malware | Zscaler Blog

Raccoon Stealer V.2.0: Uno de los RAT (Remote Access Tools) más conocidos y utilizados en Internet, Raccoon Stealer, apareció con una nueva versión que actualmente se encuentra circulando por el bajo mundo de los foros de hacking y estaría ofreciendo a los interesados una mayor funcionalidad de robo de contraseñas y una capacidad operativa mejorada, a comparación de su primera versión que en teoría había desaparecido.

Los datos que extrae Raccoon Stealer 2.0 del equipo de la víctima son los siguientes:

  • Información básica de las huellas del sistema.
  • Contraseñas del navegador, cookies, datos de relleno automático y tarjetas de crédito guardadas.
  • Monederos de criptomonedas y extensiones del navegador web, incluyendo MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC y ElectronCash.
  • Archivos individuales ubicados en todos los discos.
  • Captura de pantalla.
  • Lista de aplicaciones instaladas.

Informe técnico completo: Raccoon Stealer v2 – Part 1: The return of the dead (sekoia.io)

Arkei Stealer: Es una variante del malware infostealer y su funcionalidad es similar al malware Azorult: roba información confidencial, credenciales y claves privadas a las billeteras de criptomonedas. El malware se vende en foros clandestinos, y cualquiera puede adquirir y usar tanto la versión «legítima» como la versión crackeada de Arkei Stealer, lo que dificulta la atribución de ataques.

El ciberataque más ruidoso utilizando este infostealer puede considerarse el hackeo de la cuenta de GitHub de uno de los desarrolladores de la criptomoneda Syscoin y el compromiso del repositorio oficial del proyecto en 2018 cuando los atacantes reemplazaron el cliente oficial de Windows publicado en GitHub con una versión maliciosa con el Arkei Stealer incorporado, que pasó desapercibido durante varios días.

Al acceder a dicha información, los ciberdelincuentes pueden causar pérdidas financieras significativas y otros problemas.

Informe técnico de la última versión: Threat Thursday: Arkei Infostealer Expands Reach Using SmokeLoader to Target Crypto Wallets and MFA (blackberry.com)

Strela Stealer: se trata de un nuevo stealer que está robando activamente credenciales de cuentas de correo electrónico de Outlook y Thunderbird, dos clientes de correo electrónico ampliamente utilizados.

El malware previamente desconocido fue descubierto por analistas deDCSO CyTec, quienes informan que lo vieron por primera vez en la naturaleza a principios de noviembre de 2022, dirigido a usuarios de habla hispana.

Detalles: Nuevo malware StrelaStealer roba tus cuentas de Outlook y Thunderbird (bleepingcomputer.com)

Estos fueron los infostealers más conocidos pero existen una amplia variedad como por ejemplo fickerstealer, loki stealer, Aurora, VipersoftX y otros creados para dispositivos android.

Recomendaciones

  • Activar doble factor de autenticación (2FA) en cuentas y aplicaciones siempre que sea posible.
  • Utilizar contraseñas seguras y administrador de contraseñas para evitar la repetición de credenciales aprovechando el generador de la misma.
  • Evitar almacenar credenciales en los navegadores ya que es el principal medio del que se alimentan los infostealers.

Si les gustó el artículo los invito a seguirme en Linkedin https://www.linkedin.com/in/arroyobca/