El equipo de Cyble Research and Intelligence Labs (CRIL) encontró a través de VirusTotal un nuevo infostealer conocido como «Trap Stealer», que se está distribuyendo “abiertamente” a través de GitHub. En este caso, se trata de un programa de código abierto basado en Python diseñado para extraer una amplia gama de datos confidenciales de los sistemas comprometidos en sólo 6 segundos.

Trap Stealer posee varias funcionalidades, que van desde eludir las medidas de seguridad hasta robar datos del usuario y transmitirlos a los actores de amenaza e incluye la capacidad de realizar un proceso de autoeliminación al exfiltrar con éxito los datos de la víctima, lo que garantiza que no queden rastros residuales.

En términos más concretos, este malware está diseñado para extraer de forma encubierta una amplia gama de información confidencial de los sistemas comprometidos, que incluye cookies, historiales de navegación de todos los navegadores web, tokens de aplicaciones de Discord, contenidos del portapapeles, datos de billeteras criptográficas, archivos de WhatsApp y más.

Dentro del panorama de amenazas, no debe pasar desapercibido que los métodos de distribución del malware evolucionan constantemente, y que los actores de amenazas suelen aprovechar las “bondades” de los servicios que utilizamos diariamente.

En tal sentido, Sophos (2021) advirtió oportunamente acerca de que el malware ataca cada vez más a Discord para abusar de sus puntos débiles, y este es un claro ejemplo, en tanto Trap Stealer aprovecha el webhook de Discord para enviar los archivos robados a los actores de amenazas.

El modus operandi también incluye intentar atraer a víctimas potenciales a través de generadores engañosos de tarjetas de regalo, spam de webhooks fraudulentos y eliminación de webhooks falsos, todos diseñados para atraer a los usuarios a descargar esta herramienta.

Para concluir, el Equipo de CRIL también incluyó un análisis técnico detallado sobre la amenaza, sus tácticas, técnicas y procedimientos (TTP), los indicadores de compromiso (IOCs) y una sección de recomendaciones que se pueden tomar para contrarrestarla.

Más información sobre infostealers: https://ciberprisma.org/2022/12/21/conociendo-los-infostealers-malware/

Les dejamos IOC relacionados, analizados por nuestro equipo para su descarga: https://otx.alienvault.com/pulse/656944734d84a5fec7ca1628

Fuentes: CRIL y CNSD.