Clicky

Nuevo malware ladrón de información dirigido a navegadores web y billeteras de criptomonedas

Bandit Stealer

Llamado Bandit Stealer, se distribuye a través de correos electrónicos de phishing

Un nuevo y sigiloso malware ladrón de información llamado Bandit Stealer ha llamado la atención de los investigadores de seguridad cibernética por su capacidad para atacar numerosos navegadores web y billeteras de criptomonedas.

"Tiene el potencial de expandirse a otras plataformas, ya que Bandit Stealer se desarrolló utilizando el lenguaje de programación Go, lo que posiblemente permita la compatibilidad entre plataformas", dijo Trend Micro en un informe del viernes.

Actualmente, el malware se centra en Windows mediante el uso de una herramienta de línea de comandos legítima llamada runas.exe que permite a los usuarios ejecutar programas como otro usuario con diferentes permisos.

El objetivo es escalar los privilegios y ejecutarse con acceso administrativo, eludiendo así de manera efectiva las medidas de seguridad para recolectar grandes cantidades de datos.

Dicho esto, las mitigaciones de control de acceso de Microsoft para evitar la ejecución no autorizada de la herramienta significa que un intento de ejecutar el binario de malware como administrador requiere proporcionar las credenciales necesarias.

Runas.exe

Imagen: Runas.exe ejecuta el binario en sí mismo como administrador

"Al usar el comando runas.exe, los usuarios pueden ejecutar programas como administrador o cualquier otra cuenta de usuario con los privilegios apropiados, proporcionar un entorno más seguro para ejecutar aplicaciones críticas o realizar tareas a nivel del sistema", dijo Trend Micro.

"Esta utilidad es particularmente útil en situaciones en las que la cuenta de usuario actual no tiene privilegios suficientes para ejecutar un comando o programa específico".

Bandit Stealer incorpora comprobaciones para determinar si se está ejecutando en un entorno de pruebas o virtual y finaliza una lista de procesos bloqueados para ocultar su presencia en el sistema infectado.

También establece la persistencia mediante modificaciones del Registro de Windows antes de comenzar sus actividades de recopilación de datos que incluyen la recopilación de datos personales y financieros almacenados en navegadores web y billeteras criptográficas.

Se dice que Bandit Stealer se distribuye a través de correos electrónicos de phishing que contienen un archivo cuentagotas que abre un archivo adjunto de Microsoft Word aparentemente inocuo como una maniobra de distracción mientras desencadena la infección en segundo plano.

documento de Word malicioso

Imagen: Los archivos caídos en la carpeta de ruta %temp% (arriba) y el documento de Word abierto para distraer al usuario de las actividades maliciosas que ocurren en segundo plano (abajo)

Trend Micro dijo que también detectó un falso instalador de Heart Sender, un servicio que automatiza el proceso de envío de correos electrónicos no deseados y mensajes SMS a numerosos destinatarios, que se utiliza para engañar a los usuarios para que inicien el malware incrustado.

El desarrollo se produce cuando la firma de seguridad cibernética descubrió un ladrón de información basado en Rust dirigido a Windows que aprovecha un webhook de GitHub Codespaces controlado por el atacante como un canal de exfiltración para obtener las credenciales del navegador web, las tarjetas de crédito, las billeteras de criptomonedas y los tokens de Steam y Discord de la víctima.

El malware, en lo que es una táctica relativamente poco común, logra la persistencia en el sistema modificando el cliente Discord instalado para inyectar código JavaScript diseñado para capturar información de la aplicación.

Los hallazgos también siguen a la aparición de varias cepas de malware de ladrón de productos básicos como Luca, StrelaStealer, DarkCloud, WhiteSnake e Invicta Stealer, algunas de las cuales se han observado propagándose a través de correos electrónicos no deseados y versiones fraudulentas de software popular.

Otra tendencia notable ha sido el uso de videos de YouTube para anunciar software descifrado a través de canales comprometidos con millones de suscriptores.

Los datos recopilados por los ladrones de información pueden beneficiar a los delincuentes de muchas maneras, permitiéndoles explotar propósitos como el robo de identidad, la ganancia financiera, las filtraciones de datos, los ataques de relleno de credenciales y la apropiación de cuentas.

La información robada también se puede vender a otros actores, sirviendo como base para ataques de seguimiento que pueden ir desde campañas dirigidas hasta ataques de ransomware o extorsión.

Estos desarrollos destacan la evolución continua del malware ladrón de información hacia una amenaza más letal, al igual que el mercado de malware como servicio (MaaS) los hace fácilmente disponibles y reduce las barreras de entrada para los aspirantes a ciberdelincuentes.

De hecho, los datos recopilados por Secureworks Counter Threat Unit (CTU) han revelado un "próspero mercado de ladrones de información", con un aumento del 670% en el volumen de registros robados en foros clandestinos como Russian Market entre junio de 2021 y mayo de 2023.

"Russian Market ofrece cinco millones de logaritmos a la venta, unas diez veces más que su rival de foro más cercano, 2easy", dijo la empresa.

"Russian Market está bien establecido entre los ciberdelincuentes rusos y los actores de amenazas en todo el mundo lo utilizan ampliamente. Russian Market agregó recientemente registros de tres nuevos ladrones, lo que sugiere que el sitio se está adaptando activamente al panorama cambiante del crimen electrónico".

El ecosistema MaaS, a pesar de la creciente sofisticación, también ha estado en un estado de cambio, con acciones policiales que incitaron a los actores de amenazas a vender sus warez en Telegram.

"Lo que estamos viendo es toda una economía e infraestructura clandestina de apoyo construida alrededor de ladrones de información, haciéndolo no solo posible, sino también potencialmente lucrativo para que se involucren los actores de amenazas relativamente poco calificados", dijo Don Smith, vicepresidente de Secureworks CTU.

"La acción global coordinada de las fuerzas del orden público está teniendo cierto impacto, pero los ciberdelincuentes son expertos en remodelar sus rutas hacia el mercado".

Jesus_Caceres