Los investigadores de seguridad cibernética advierten sobre dos programas maliciosos diferentes para robar información, llamados FFDroider y Ladrón de relámpagosque son capaces de desviar datos y lanzar más ataques.
«Diseñado para enviar credenciales robadas y cookies a un servidor de Comando y Control, FFDroider se disfraza en las máquinas de las víctimas para parecerse a la aplicación de mensajería instantánea ‘Telegram'», los investigadores de Zscaler ThreatLabz Avinash Kumar y Niraj Shivtarkar dicho en un informe publicado la semana pasada.
Los ladrones de información, como su nombre lo indica, están equipados para recopilar información confidencial de máquinas comprometidas, como pulsaciones de teclas, capturas de pantalla, archivos, contraseñas guardadas y cookies de navegadores web, que luego se transmiten a un dominio controlado por un atacante remoto.
FFDroider se distribuye a través de versiones descifradas de instaladores y software gratuito con el objetivo principal de robar cookies y credenciales asociadas con redes sociales populares y plataformas de comercio electrónico y usar los datos saqueados para iniciar sesión en las cuentas y capturar otra información personal relacionada con la cuenta.
Los navegadores web a los que se dirige el malware incluyen Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge. Los sitios web objetivo abarcan Facebook, Instagram, Twitter, Amazon, eBay y Etsy.
«El ladrón inicia sesión en las plataformas de redes sociales de las víctimas utilizando cookies robadas y extrae información de la cuenta como Facebook Ads-manager para ejecutar anuncios maliciosos con métodos de pago almacenados e Instagram a través de API para robar información personal», dijeron los investigadores.
FFDroider también viene con una funcionalidad de descarga para actualizarse con nuevos módulos de un servidor de actualización que le permite expandir su conjunto de funciones con el tiempo, lo que permite a los actores maliciosos abusar de los datos robados como un vector para el acceso inicial a un objetivo.
 |
| Función principal de Lightning Stealer |
El ladrón de rayos opera de manera similar en el sentido de que puede robar tokens de Discord, datos de billeteras de criptomonedas y detalles relacionados con cookies, contraseñas, tarjetas de crédito e historial de búsqueda de más de 30 navegadores basados en Firefox y Chromium, todo lo cual se extrae. a un servidor en formato JSON.
«Los ladrones de información están adoptando nuevas técnicas para volverse más evasivos», investigadores de Cyble dichoy agregó que «fueron testigos de grupos de ransomware que aprovecharon a los ladrones de información para obtener acceso inicial a la red y, finalmente, exfiltrar datos confidenciales».
El desarrollo se produce cuando el malware ladrón se está volviendo cada vez más común en diferentes campañas de ataque en los últimos meses, en parte para llenar el vacío dejado por La salida de Raccoon Stealer del mercado a fines de marzo debido a la guerra en curso en Ucrania.
En febrero de 2022, Cyble Research reveló detalles de una amenaza emergente llamada Ladrón de bufones que está diseñado para robar y transmitir credenciales de inicio de sesión, cookies, información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos a los atacantes.
Desde entonces, han surgido al menos tres ladrones de información diferentes, incluidos BlackGuard, Mars Stealer y METAel último de los cuales se ha observado entregado a través de campañas malspam para recopilar datos confidenciales.