Un nuevo malware sigiloso de robo de información llamado Bandit Stealer ha captado la atención de los investigadores de ciberseguridad debido a su capacidad para atacar numerosos navegadores web y billeteras de criptomonedas. "Tiene el potencial de expandirse a otras plataformas, ya que Bandit Stealer fue desarrollado utilizando el lenguaje de programación Go, lo que posiblemente permita la compatibilidad entre plataformas", dijo Trend Micro en un informe publicado el viernes.
Actualmente, el malware se centra en atacar Windows utilizando una herramienta legítima de línea de comandos llamada runas.exe, que permite a los usuarios ejecutar programas como otro usuario con diferentes permisos. El objetivo es elevar los privilegios y ejecutarse con acceso administrativo, evitando así efectivamente las medidas de seguridad para recolectar una amplia cantidad de datos.
Dicho esto, las mitigaciones de control de acceso de Microsoft para evitar la ejecución no autorizada de la herramienta implican que intentar ejecutar el archivo binario del malware como administrador requiere proporcionar las credenciales necesarias. "Al utilizar el comando runas.exe, los usuarios pueden ejecutar programas como administrador o cualquier otra cuenta de usuario con privilegios adecuados, lo que proporciona un entorno más seguro para ejecutar aplicaciones críticas o realizar tareas a nivel de sistema", dijo Trend Micro.
"Esta utilidad es especialmente útil en situaciones donde la cuenta de usuario actual no tiene suficientes privilegios para ejecutar un comando o programa específico". Bandit Stealer incorpora comprobaciones para determinar si se está ejecutando en un entorno de sandbox o virtual y termina una lista de procesos en lista negra para ocultar su presencia en el sistema infectado.
También establece la persistencia mediante modificaciones en el Registro de Windows antes de comenzar sus actividades de recolección de datos, que incluyen extraer datos personales y financieros almacenados en navegadores web y billeteras de criptomonedas. Se dice que Bandit Stealer se distribuye a través de correos electrónicos de phishing que contienen un archivo dropper que abre un archivo adjunto aparentemente inofensivo de Microsoft Word como maniobra de distracción mientras desencadena la infección en segundo plano.
Trend Micro también detectó un falso instalador de Heart Sender, un servicio que automatiza el proceso de envío de correos electrónicos no deseados y mensajes SMS a numerosos destinatarios, que se utiliza para engañar a los usuarios y hacer que ejecuten el malware incrustado.
Este desarrollo se produce cuando la empresa de ciberseguridad descubrió un robo de información basado en Rust que apunta a Windows y que utiliza un webhook de GitHub Codespaces controlado por el atacante como canal de exfiltración para obtener las credenciales del navegador web, tarjetas de crédito, billeteras de criptomonedas y tokens de Steam y Discord de la víctima. El malware, en lo que es una táctica relativamente poco común, logra persistencia en el sistema modificando el cliente de Discord instalado para inyectar código JavaScript diseñado para capturar información de la aplicación.
Estos hallazgos siguen a la aparición de varias cepas de malware de robo de información, como Luca, StrelaStealer, DarkCloud, WhiteSnake e Invicta Stealer, algunas de las cuales se han observado propagándose a través de correos electrónicos no deseados y versiones fraudulentas de software popular.
Otra tendencia notable ha sido el uso de videos de YouTube para anunciar software pirateado a través de canales comprometidos con millones de suscriptores. Los datos acumulados por los stealer pueden beneficiar a los operadores de muchas maneras, permitiéndoles aprovecharlos para robo de identidad, ganancias financieras, violaciones de datos, ataques de relleno de credenciales y toma de cuentas. La información robada también puede venderse a otros actores, sirviendo como base para ataques posteriores que pueden ir desde campañas dirigidas hasta ataques de ransomware o extorsión.
Estos desarrollos resaltan la continua evolución del malware de robo de información hacia una amenaza más letal, justo cuando el mercado de malware como servicio (MaaS) los hace fácilmente disponibles y reduce las barreras de entrada para los ciberdelincuentes en ciernes.
De hecho, los datos recopilados por la Unidad de Amenazas Contrarrestadas (CTU) de Secureworks revelan un "floreciente mercado de infostealers", con un aumento del 670% en el volumen de registros robados en foros clandestinos como Russian Market entre junio de 2021 y mayo de 2023. "Russian Market ofrece cinco millones de registros en venta, lo cual es aproximadamente diez veces más que su rival de foro más cercano, 2easy", dijo la compañía.
"Russian Market está bien establecido entre los ciberdelincuentes rusos y es ampliamente utilizado por actores de amenazas de todo el mundo. Russian Market ha agregado recientemente registros de tres nuevos stealers, lo que sugiere que el sitio se está adaptando activamente al paisaje del cibercrimen en constante cambio". A pesar de la creciente sofisticación, el ecosistema de MaaS también ha estado en un estado de cambio, ya que las acciones de las fuerzas del orden han llevado a los actores de amenazas a vender sus productos en Telegram.
"Lo que estamos viendo es una economía clandestina completa y una infraestructura de soporte construida en torno a los infostealers, lo que no solo hace posible, sino también potencialmente lucrativo para actores de amenazas relativamente inexpertos involucrarse", dijo Don Smith, vicepresidente de Secureworks CTU. "La acción coordinada globalmente por parte de las fuerzas del orden está teniendo cierto impacto, pero los ciberdelincuentes son expertos en reconfigurar sus rutas al mercado".
¿Quieres saber más sobre la seguridad web?
Comments