Un nuevo malware ladr\u00f3n de informaci\u00f3n sigiloso llamado Ladr\u00f3n de bandidos<\/b> ha llamado la atenci\u00f3n de los investigadores de ciberseguridad por su capacidad para apuntar a numerosos navegadores web y billeteras de criptomonedas. <\/p>\n
“Tiene el potencial de expandirse a otras plataformas, ya que Bandit Stealer se desarroll\u00f3 utilizando el lenguaje de programaci\u00f3n Go, lo que posiblemente permita la compatibilidad entre plataformas”, Trend Micro dicho<\/a> en un informe del viernes.<\/p>\n El malware se centra actualmente en apuntar a Windows mediante el uso de una herramienta de l\u00ednea de comandos leg\u00edtima llamada runas.exe<\/a> que permite a los usuarios ejecutar programas como otro usuario con diferentes permisos.<\/p>\n El objetivo es escalar los privilegios y ejecutarse con acceso administrativo, eludiendo as\u00ed de manera efectiva las medidas de seguridad para recolectar grandes cantidades de datos.<\/p>\n Dicho esto, las mitigaciones de control de acceso de Microsoft para evitar la ejecuci\u00f3n no autorizada de la herramienta significa que un intento de ejecutar el binario de malware como administrador requiere proporcionar las credenciales necesarias.<\/p>\n “Al usar el comando runas.exe, los usuarios pueden ejecutar programas como administrador o cualquier otra cuenta de usuario con los privilegios apropiados, proporcionar un entorno m\u00e1s seguro para ejecutar aplicaciones cr\u00edticas o realizar tareas a nivel del sistema”, dijo Trend Micro.<\/p>\n “Esta utilidad es particularmente \u00fatil en situaciones en las que la cuenta de usuario actual no tiene privilegios suficientes para ejecutar un comando o programa espec\u00edfico”.<\/p>\n Bandit Stealer incorpora comprobaciones para determinar si se est\u00e1 ejecutando en un entorno de pruebas o virtual y finaliza una lista de procesos bloqueados para ocultar su presencia en el sistema infectado.<\/p>\n Tambi\u00e9n establece la persistencia mediante modificaciones del Registro de Windows antes de comenzar sus actividades de recopilaci\u00f3n de datos que incluyen la recopilaci\u00f3n de datos personales y financieros almacenados en navegadores web y billeteras criptogr\u00e1ficas.<\/p>\n Se dice que Bandit Stealer se distribuye a trav\u00e9s de correos electr\u00f3nicos de phishing que contienen un archivo cuentagotas que abre un archivo adjunto de Microsoft Word aparentemente inocuo como una maniobra de distracci\u00f3n mientras desencadena la infecci\u00f3n en segundo plano.<\/p>\n Trend Micro dijo que tambi\u00e9n detect\u00f3 un instalador falso de Heart Sender, un servicio que automatiza el proceso de env\u00edo de correos electr\u00f3nicos no deseados y mensajes SMS a numerosos destinatarios, que se utiliza para enga\u00f1ar a los usuarios para que ejecuten el malware incrustado.<\/p>\n El desarrollo se produce cuando la firma de seguridad cibern\u00e9tica descubri\u00f3 un ladr\u00f3n de informaci\u00f3n basado en Rust dirigido a Windows que aprovecha<\/a> un webhook de GitHub Codespaces controlado por el atacante como un canal de exfiltraci\u00f3n para obtener las credenciales del navegador web de la v\u00edctima, tarjetas de cr\u00e9dito, billeteras de criptomonedas y tokens de Steam y Discord.<\/p>\n El malware, en lo que es una t\u00e1ctica relativamente poco com\u00fan, logra persistencia<\/a> en el sistema modificando el cliente Discord instalado para inyectar c\u00f3digo JavaScript dise\u00f1ado para capturar informaci\u00f3n de la aplicaci\u00f3n.<\/p>\n Los hallazgos tambi\u00e9n siguen la aparici\u00f3n de varias cepas<\/a> de malware de ladr\u00f3n de productos b\u00e1sicos como Lucas<\/a>Strela Stealer, Nube oscura<\/a>, Serpiente blanca<\/a>y Ladr\u00f3n de Invicta<\/a>algunos de los cuales han sido observado<\/a> propagador<\/a> a trav\u00e9s de correos electr\u00f3nicos no deseados y versiones fraudulentas<\/a> de software popular.<\/p>\n Otra tendencia notable ha sido el uso de YouTube<\/a> v\u00eddeos<\/a> para anunciar software pirateado a trav\u00e9s de canales comprometidos con millones de suscriptores.<\/p>\n Los datos recopilados por los ladrones pueden beneficiar a los operadores de muchas maneras, permiti\u00e9ndoles explotar prop\u00f3sitos como el robo de identidad, la ganancia financiera, las filtraciones de datos, los ataques de relleno de credenciales y la apropiaci\u00f3n de cuentas.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n La informaci\u00f3n robada tambi\u00e9n se puede vender a otros actores, sirviendo como base para ataques de seguimiento que pueden ir desde campa\u00f1as dirigidas hasta ataques de ransomware o extorsi\u00f3n.<\/p>\n Estos desarrollos destacan la evoluci\u00f3n continua del malware ladr\u00f3n hacia una amenaza m\u00e1s letal, al igual que el mercado de malware como servicio (MaaS) los hace f\u00e1cilmente disponibles y reduce las barreras de entrada para los aspirantes a ciberdelincuentes.<\/p>\n De hecho, los datos recopilados por Secureworks Counter Threat Unit (CTU) han revel\u00f3<\/a> un “mercado pr\u00f3spero de ladrones de informaci\u00f3n”, con el volumen de registros robados en foros clandestinos como Russian Market registrando un aumento del 670% entre junio de 2021 y mayo de 2023.<\/p>\n “Russian Market ofrece cinco millones de troncos a la venta, unas diez veces m\u00e1s que su rival de foro m\u00e1s cercano, 2easy”, dijo la empresa.<\/p>\n “Russian Market est\u00e1 bien establecido entre los ciberdelincuentes rusos y los actores de amenazas de todo el mundo lo utilizan ampliamente. Russian Market agreg\u00f3 recientemente registros de tres nuevos ladrones, lo que sugiere que el sitio se est\u00e1 adaptando activamente al panorama cambiante del crimen electr\u00f3nico”.<\/p>\n El ecosistema MaaS, a pesar de la creciente sofisticaci\u00f3n, tambi\u00e9n ha estado en un estado de cambio, con acciones policiales que incitaron a los actores de amenazas a vender sus warez en Telegram.<\/p>\n “Lo que estamos viendo es toda una econom\u00eda clandestina y una infraestructura de apoyo construida alrededor de los ladrones de informaci\u00f3n, lo que hace que no solo sea posible, sino tambi\u00e9n potencialmente lucrativo, que los actores de amenazas relativamente poco calificados se involucren”, Don Smith, vicepresidente de Secureworks CTU, dicho<\/a>.<\/p>\n “La acci\u00f3n global coordinada de las fuerzas del orden p\u00fablico est\u00e1 teniendo cierto impacto, pero los ciberdelincuentes son expertos en remodelar sus rutas hacia el mercado”.<\/p>\n <\/p>\n