Autor: Braian Arroyo para Ciberprisma

Un ejemplo de esto, en una publicación del equipo de darktracer en abril del 2022 señalan que para esos momentos había unas 680.000 credenciales expuestas solo de argentinos.

Por ello escribo este artículo, el cual es meramente informativo, para que conozcan un poco sobre los infostealers y cuiden su información.

Infostealer malware:

Infostealers, es el nombre genérico de programas informáticos maliciosos que se introducen a través de internet en un ordenador o dispositivo móvil con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre, credenciales de acceso a sitios web, contraseñas, números de tarjetas bancarias o documentos con información clasificada. Asimismo, destacamos que gran parte de las variantes de este tipo de malware se comercializa por mercados negros o simplemente distribuyéndolos gratuitamente en múltiples canales de Telegram siguiendo el modelo de Malware-as-a-Service.

La última tendencia se enfoca además en la sustracción de billeteras de criptomonedas, un tipo de ataque que ha demostrado ser bastante lucrativo y escasamente regulado.

¿Cómo se infectan los usuarios?

Los métodos de infección de los usuarios están dados de acuerdo con el tipo de malware, sin embargo, entre ellos no suelen existir mucha variedad en sus métodos de acceso inicial a los equipos, pero la mayoría suelen estar dados por mecanismos de ingeniería social, logrando que el usuario voluntariamente sea quien ejecute el malware.

Otros métodos de infección posible:

• Acceso mediante troyanos: Este método se basa en utilizar una aplicación o algún elemento que requiera ejecución y que previamente se le ha incorporado código para ejecutar el malware en segundo plano mientras presenta las características o prestaciones deseadas sin sospechar de que se está sustrayendo información por el sistema, como por ejemplo la adquisición de programas crackeados que disponen de prestaciones completas sin requerir pagar membresías o licencias, por lo que suelen ser bastante atractivos para los usuarios que no conocen las posibles consecuencias y que además de prestarle un uso recurrente, permiten brindarle persistencia al malware, ya que para eliminarlo es necesario también el software deseado.
• Acceso mediante phishing: Es conocido el acceso a sistemas para diferentes fines mediante campañas de phishing, ya sean dirigidas o genéricas, las cuales en ambos casos se aprovechan de la ingeniería social para lograr que mediante algún correo alarmante o que invita a tomar acción, se abran los documentos adjuntos enviados y terminen por descargar y ejecutar el malware.

También ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de vídeos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas.

Investigadores de ESET revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine stealer. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, y a su vez, permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.

¿Qué se sustrae?

La información contenida en estos DataLeak pueden variar de acuerdo con los hábitos del usuario, ya que estos malware se enfocan directamente en el robo de credenciales guardadas principalmente en el navegador, portapapeles e historial.

Cada agrupación aplica diferentes características adicionales y distintivas, como han sido las recientes incorporaciones de funciones para capturar billeteras de criptomonedas de escritorio, de extensión en navegadores y cuentas asociadas a plataformas de intercambio de estas.

Si bien desde aquí es posible obtener la mayor cantidad de información, estos malware no solo capturan datos guardados sino que también son capaces de identificar información de la máquina como nombre, dominio, usuarios, IP, Sistema Operativo,  CPU, GPU, RAM, capturas de pantalla, softwares instalados y sus versiones, junto a perfilar al usuario con datos georreferenciados y detallando exactamente con que nombre de malware fueron afectados, adjudicando un identificador único para ser reconocido posteriormente por los administradores y evitar duplicidades.

A continuación observamos cómo se ven algunos de los archivos txt disponibles gratuitamente  en canales de telegram con la información de los usuarios infectados.

Conozcamos algunos de ellos:

Redline: RedLine Stealer, es un malware del tipo troyano, que se introducen a través de internet en una estación de trabajo con el propósito de obtener de forma fraudulenta información confidencial de la víctima, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.

RedLine Stealer no es un malware tan sofisticado como lo puede ser un ransomware. Tiene las características habituales típicas de esta familia. Sin embargo, este malware está escrito en C#, y la calidad del código es lo suficientemente alta como para intuir que la persona detrás de RedLine es un programador muy experimentado. Los ciberdelincuentes también trabajan duro para darle nuevas actualizaciones al malware, convirtiéndose principalmente en una gran herramienta para desplegar payloads y funciones de filtrar información avanzada.

Gracias a su simpleza, su bajo costo de licencia y factibilidad de operaciones, RedLine es uno de los malwares más usados por diferentes actores de amenazas para llevar a cabo sus operaciones en diferentes campañas de spam, sitios webs maliciosos, cracks y herramientas gratuitas por Internet.

Características de RedLine Stealer

• Extraer las credenciales del dispositivo.
• Extraer las Cookies del navegador.
• Extraer las credenciales guardadas en el navegador.
• Extraer información de los campos autocompletados.
• Identifica los componentes del sistema y el sistema de defensa implementado.
• Despliega un Backdoor para establecer comunicación y acceso a la máquina.
• Implementa una extensión maliciosa en el navegador para registrar toda la información que la víctima esté agregando, como un Keylogger y la posibilidad de tomar screenshot sin que el usuario se entere.
• Robar Criptomonedas en diferentes Wallets.
• Obtener información de todos los navegadores que se encuentren basados en Chromium y Gecko.

Si quieren conocer más en profundidad sobre este stealer les dejo el siguiente artículo: TOP Malware Series: RedLine Stealer | CronUp Ciberseguridad

Meta Stealer: Fue identificado por primera vez en marzo de 2022, sin embargo, no ha sido hasta finales del mes de mayo donde se han visto las primeras afectaciones.

El método de afectación de este malware es bastante común y se realiza principalmente mediante campañas de phishing con temática sobre transacciones bancarias que solicitan la descarga de un documento en Excel firmado por “DocuSign” que posteriormente ejecuta macros para implantar cargas útiles como DLL y ejecutables .exe, siendo esta última una extensión excluida de escaneos de Windows Defender mediante instrucciones PowerShell.

Para detalles técnicos: Metastealer – llenando el vacío de Racoon – NCC Group Research

Vidar stealer: La familia de malware Vidar, que se identificó por primera vez en 2018, es capaz de robar datos confidenciales del PC de la víctima. Esto incluye información bancaria, contraseñas guardadas, direcciones IP, historial del navegador, credenciales de inicio de sesión y billeteras criptográficas, que luego se pueden transferir al Comando y Control (C&C) de las TA.

Vidar Stealer se disfraza principalmente como un software de activación de Windows. Debido a que el producto de Windows es caro, muchas personas descargan software de activación ilegal para usarlo de forma gratuita. Además de Windows, muchos casos se disfrazan de un software comercial agrietado, software keygen, etc. Los usuarios pueden reconocer el riesgo del software, ya que la mayoría de las soluciones pueden detectar y alertar a los usuarios, pero tienden a ignorarlos y ejecutarlos asumiendo su propio riesgo.