Un nuevo malware de robo de credenciales llamado robot de zaraza se ofrece a la venta en Telegram y al mismo tiempo utiliza el popular servicio de mensajería como comando y control (C2).
«El bot de Zaraza apunta a una gran cantidad de navegadores web y se está distribuyendo activamente en un canal de piratas informáticos de Telegram ruso popular entre los actores de amenazas», la compañía de seguridad cibernética Uptycs dicho en un informe publicado la semana pasada.
«Una vez que el malware infecta la computadora de la víctima, recupera datos confidenciales y los envía a un servidor de Telegram donde los atacantes pueden acceder a ellos de inmediato».
Un archivo binario de 64 bits compilado con C#, el bot de Zaraza está diseñado para apuntar a hasta 38 navegadores web diferentes, incluidos Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi y Yandex. También está equipado para capturar capturas de pantalla de la ventana activa.
Es el último ejemplo de malware que es capaz de capturar credenciales de inicio de sesión asociadas con cuentas bancarias en línea, billeteras de criptomonedas, cuentas de correo electrónico y otros sitios web considerados valiosos para los operadores.
Las credenciales robadas representan un riesgo grave, ya que no solo permiten que los atacantes obtengan acceso no autorizado a las cuentas de las víctimas, sino que también cometen robos de identidad y fraudes financieros.
La evidencia recopilada por Uptycs apunta a que el bot de Zaraza se ofrece como una herramienta comercial para otros ciberdelincuentes a cambio de una suscripción. Actualmente no está claro cómo se propaga el malware, pero los ladrones de información generalmente han aprovechado varios métodos, como la publicidad maliciosa y la ingeniería social en el pasado.
Los hallazgos vienen como la Unidad de Respuesta a Amenazas (TRU) de eSentire revelado una campaña GuLoader (también conocida como CloudEyE) dirigida al sector financiero a través de correos electrónicos de phishing mediante el empleo de señuelos con temas fiscales para entregar ladrones de información y troyanos de acceso remoto (RAT) como Remcos RAT.
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
El desarrollo también sigue un aumento en la publicidad maliciosa y las técnicas de envenenamiento de motores de búsqueda para distribuir un número creciente de familias de malware al atraer a los usuarios que buscan aplicaciones legítimas para que descarguen instaladores falsos que contienen cargas útiles de ladrones.
La firma rusa de ciberseguridad Kaspersky, en un nuevo análisisreveló el uso de software crackeado con troyanos descargado de BitTorrent o OneDrive para implementar CueMiner, un descargador basado en .NET que actúa como un conducto para instalar un minero de criptomonedas conocido como SilentCryptoMiner.
Para mitigar los riesgos derivados del malware ladrón, se recomienda que los usuarios habiliten la autenticación de dos factores (2FA) y apliquen actualizaciones de software y sistemas operativos cuando estén disponibles.