Un nuevo malware ladrón de información sigiloso llamado Ladrón de bandidos ha llamado la atención de los investigadores de ciberseguridad por su capacidad para apuntar a numerosos navegadores web y billeteras de criptomonedas.
“Tiene el potencial de expandirse a otras plataformas, ya que Bandit Stealer se desarrolló utilizando el lenguaje de programación Go, lo que posiblemente permita la compatibilidad entre plataformas”, Trend Micro dicho en un informe del viernes.
El malware se centra actualmente en apuntar a Windows mediante el uso de una herramienta de línea de comandos legítima llamada runas.exe que permite a los usuarios ejecutar programas como otro usuario con diferentes permisos.
El objetivo es escalar los privilegios y ejecutarse con acceso administrativo, eludiendo así de manera efectiva las medidas de seguridad para recolectar grandes cantidades de datos.
Dicho esto, las mitigaciones de control de acceso de Microsoft para evitar la ejecución no autorizada de la herramienta significa que un intento de ejecutar el binario de malware como administrador requiere proporcionar las credenciales necesarias.
“Al usar el comando runas.exe, los usuarios pueden ejecutar programas como administrador o cualquier otra cuenta de usuario con los privilegios apropiados, proporcionar un entorno más seguro para ejecutar aplicaciones críticas o realizar tareas a nivel del sistema”, dijo Trend Micro.
“Esta utilidad es particularmente útil en situaciones en las que la cuenta de usuario actual no tiene privilegios suficientes para ejecutar un comando o programa específico”.
Bandit Stealer incorpora comprobaciones para determinar si se está ejecutando en un entorno de pruebas o virtual y finaliza una lista de procesos bloqueados para ocultar su presencia en el sistema infectado.
También establece la persistencia mediante modificaciones del Registro de Windows antes de comenzar sus actividades de recopilación de datos que incluyen la recopilación de datos personales y financieros almacenados en navegadores web y billeteras criptográficas.
Se dice que Bandit Stealer se distribuye a través de correos electrónicos de phishing que contienen un archivo cuentagotas que abre un archivo adjunto de Microsoft Word aparentemente inocuo como una maniobra de distracción mientras desencadena la infección en segundo plano.
Trend Micro dijo que también detectó un instalador falso de Heart Sender, un servicio que automatiza el proceso de envío de correos electrónicos no deseados y mensajes SMS a numerosos destinatarios, que se utiliza para engañar a los usuarios para que ejecuten el malware incrustado.
El desarrollo se produce cuando la firma de seguridad cibernética descubrió un ladrón de información basado en Rust dirigido a Windows que aprovecha un webhook de GitHub Codespaces controlado por el atacante como un canal de exfiltración para obtener las credenciales del navegador web de la víctima, tarjetas de crédito, billeteras de criptomonedas y tokens de Steam y Discord.
El malware, en lo que es una táctica relativamente poco común, logra persistencia en el sistema modificando el cliente Discord instalado para inyectar código JavaScript diseñado para capturar información de la aplicación.
Los hallazgos también siguen la aparición de varias cepas de malware de ladrón de productos básicos como LucasStrela Stealer, Nube oscura, Serpiente blancay Ladrón de Invictaalgunos de los cuales han sido observado propagador a través de correos electrónicos no deseados y versiones fraudulentas de software popular.
Otra tendencia notable ha sido el uso de YouTube vídeos para anunciar software pirateado a través de canales comprometidos con millones de suscriptores.
Los datos recopilados por los ladrones pueden beneficiar a los operadores de muchas maneras, permitiéndoles explotar propósitos como el robo de identidad, la ganancia financiera, las filtraciones de datos, los ataques de relleno de credenciales y la apropiación de cuentas.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
La información robada también se puede vender a otros actores, sirviendo como base para ataques de seguimiento que pueden ir desde campañas dirigidas hasta ataques de ransomware o extorsión.
Estos desarrollos destacan la evolución continua del malware ladrón hacia una amenaza más letal, al igual que el mercado de malware como servicio (MaaS) los hace fácilmente disponibles y reduce las barreras de entrada para los aspirantes a ciberdelincuentes.
De hecho, los datos recopilados por Secureworks Counter Threat Unit (CTU) han reveló un “mercado próspero de ladrones de información”, con el volumen de registros robados en foros clandestinos como Russian Market registrando un aumento del 670% entre junio de 2021 y mayo de 2023.
“Russian Market ofrece cinco millones de troncos a la venta, unas diez veces más que su rival de foro más cercano, 2easy”, dijo la empresa.
“Russian Market está bien establecido entre los ciberdelincuentes rusos y los actores de amenazas de todo el mundo lo utilizan ampliamente. Russian Market agregó recientemente registros de tres nuevos ladrones, lo que sugiere que el sitio se está adaptando activamente al panorama cambiante del crimen electrónico”.
El ecosistema MaaS, a pesar de la creciente sofisticación, también ha estado en un estado de cambio, con acciones policiales que incitaron a los actores de amenazas a vender sus warez en Telegram.
“Lo que estamos viendo es toda una economía clandestina y una infraestructura de apoyo construida alrededor de los ladrones de información, lo que hace que no solo sea posible, sino también potencialmente lucrativo, que los actores de amenazas relativamente poco calificados se involucren”, Don Smith, vicepresidente de Secureworks CTU, dicho.
“La acción global coordinada de las fuerzas del orden público está teniendo cierto impacto, pero los ciberdelincuentes son expertos en remodelar sus rutas hacia el mercado”.