Un nuevo ladrón de información llamado robarc que se anuncia en la web oscura podría surgir como un competidor digno de otro malware de su clase.
«El actor de amenazas presenta a Stealc como un ladrón con todas las funciones y listo para usar, cuyo desarrollo se basó en los ladrones Vidar, Raccoon, Mars y RedLine», SEKOIA dicho en un informe del lunes.
Lo dijo la empresa francesa de ciberseguridad descubierto más que 40 muestras Stealc distribuidos en la naturaleza y 35 servidores de comando y control (C2) activos, lo que sugiere que el malware ya está ganando terreno entre los grupos criminales.
Stealc, comercializado por primera vez por un actor llamado Plymouth en los foros clandestinos de habla rusa XSS y BHF el 9 de enero de 2023, está escrito en C y viene con capacidades para robar datos de navegadores web, billeteras criptográficas, clientes de correo electrónico y aplicaciones de mensajería.
El malware como servicio (MaaS) también se jacta de un capturador de archivos «personalizable» que permite a sus compradores adaptar el módulo para desviar archivos de interés. Además, implementa capacidades de cargador para implementar cargas útiles adicionales.
SEKOIA evaluó con «alta confianza que su presunto desarrollador se estableció rápidamente como un actor de amenazas confiable, y su malware se ganó la confianza de los ciberdelincuentes que se ocupan de los ladrones de información».
Entre los vectores de distribución utilizados para entregar Stealc se encuentran los videos de YouTube publicados desde cuentas comprometidas que se vinculan a un sitio web que vende software descifrado («rcc-software[.]com»).
Esto también indica que los usuarios que buscan formas de instalar software pirateado en YouTube son un objetivo, lo que refleja la misma táctica adoptada por otro ladrón de información denominado Aurora.
«Dado que los clientes de Stealc MaaS poseen una versión de su panel de administración para alojar el servidor C2 del ladrón y generar ellos mismos muestras del ladrón, es probable que la construcción se filtre en las comunidades clandestinas a mediano plazo», agregó la compañía.
Según el proveedor de antivirus Avast, FormBook, Agent Tesla, RedLine, lokibotRaccoon, Snake Keylogger y Arkei (junto con su bifurcación Vidar) representaron el cepas de malware ladrón más frecuentes durante el cuarto trimestre de 2022.