Los stealers constituyen una amenaza cada vez más grave, por ello es importante conocer los riesgos que conllevan y cómo protegerse de ellos.
Los malware de tipo stealer son una amenaza en crecimiento para la ciberseguridad. Estos malware son programados para robar información personal y financiera, como contraseñas, números de tarjetas de crédito y datos bancarios, de manera silenciosa y discreta. Los stealers básicamente se distribuyen a través de medios como phishing, archivos adjuntos de e-mails maliciosos y descargas de sitios maliciosos.
Una vez instalado en el dispositivo, el malware puede rastrear y capturar información sensible, que envía a los ciberdelincuentes que lo crearon. Con el creciente uso de dispositivos móviles y la popularidad del comercio electrónico, los stealers se transformaron en una amenaza cada vez más grave, por eso, es importante que los usuarios conozcan los riesgos a los que se exponen y sepan cómo protegerse de esta amenaza.
¿Qué información roban los malware stealers?
A los malware de tipo stealer se los programa para robar una variedad de información personal y financiera, que incluye:
- Contraseñas: los stealers pueden rastrear y capturar las contraseñas almacenadas en los dispositivos infectados, entre ellas, contraseñas de cuentas de e-mail, redes sociales y cuentas bancarias on-line.
- Números de tarjetas de crédito: estos softwares maliciosos están preparados para buscar y capturar números de tarjetas de crédito almacenados en los dispositivos infectados, lo que incluye la información de tarjetas de crédito guardada en navegadores o aplicaciones de comercio electrónico.
- Datos bancarios: los maleware pueden rastrear y capturar información bancaria, incluyendo saldos de cuentas y transacciones recientes.
- Información personal: los stealers también pueden rastrear y capturar información personal como nombres, direcciones, números de teléfono y datos de identificación personal.
- Información de navegación: inclusive, pueden rastrear y capturar información sobre la actividad de navegación del usuario, como el historial de navegación, las cookies y los datos de formularios.
¿Dónde va a parar la información robada?
El mercado de credenciales en la Deep y Dark web, bien como Telegram, WhatsApp, Discord, Signal, entre otros, son espacios virtuales donde los ciberdelincuentes venden la información robada, como nombres de usuario y contraseñas, información de tarjetas de crédito y datos bancarios. Estos datos generalmente se obtienen a través de ataques de phishing o de malwares de tipo stealer. Después de obtener la información, esta es vendida en el mercado de credenciales a otros ciberdelincuentes, que pueden usarla para llevar a cabo actividades ilícitas, como realizar compras fraudulentas y acceder a cuentas bancarias o a servicios remotos como RDP y VPN.
Debido a su naturaleza anónima y descentralizada, el mercado de credenciales es difícil de detectar y monitorear. Vale la pena destacar que la información robada puede utilizarse para acceder a cuentas personales y financieras, y estos ataques tendrán consecuencias graves para las víctimas. Por esto, es importante seguir las buenas prácticas de seguridad, como usar contraseñas fuertes, evitar cliquear en links y adjuntos desconocidos, y mantener los softwares de seguridad actualizados, lo cual mejora la protección contra estas amenazas.
La información muchas veces es clasificada y vendida en paquetes direccionados a través de la geolocalización. Otras veces se la direcciona de acuerdo a la víctima de la estafa. Esto sucede cuando, por ejemplo, esta es una organización conocida y, así, el precio del lote es más alto que si se tratase de una víctima común. Generalmente, cada paquete de datos de stealer se vende por aproximadamente 10 dólares.
Malware como servicio (Malware as a Service — MaaS)
Así como ocurre con el ransomware, los stealers se comercializan popularmente en formato MaaS.
El “Malware as a Service” (MaaS) representa un modelo de negocio donde los ciberdelincuentes ofrecen el acceso a su malware o a su capacidad de generar malware, generalmente por un precio. Esto permite que los individuos u organizaciones con poco conocimiento técnico o escasos recursos puedan cometer delitos cibernéticos sin la necesidad de desarrollar el malware por su propia cuenta.
Los principales tipos de MaaS son:
- Malware builder: es un software que permite crear malware sin demasiado conocimiento técnico.
- Malware-as-a-Service: es una oferta a partir de la cual los delincuentes cibernéticos venden a otras personas el acceso a sus malwares.
- Ransomware-as-a-Service: es un modelo de negocio donde los delincuentes cibernéticos venden a otras personas el acceso a su ransomware, generalmente con un sistema de participación en las ganancias.
Estos servicios son muy peligrosos porque permiten que personas con escaso conocimiento técnico cometan delitos cibernéticos y causen grandes perjuicios a otras personas o empresas. Además, están volviéndose cada vez más accesibles y populares, lo cual hace más fácil su acceso a los ciberdelincuentes.
¿Cómo se distribuyen los stealers?
Los malware de tipo stealer se distribuyen por diversos medios, que incluyen:
- Phishing: los ciberdelincuentes envían e-mails de phishing que parecen legítimos, pero que contienen links maliciosos o adjuntos que, al ser abiertos, instalan el malware en el dispositivo del usuario.
- Adjuntos de e-mail maliciosos: los ciberdelincuentes pueden enviar archivos adjuntos en e-mails. Estos, al ser abiertos por el usuario, instalan el malware en su dispositivo.
- Descargas de sitios maliciosos: los ciberdelincuentes generan sitios maliciosos que ofrecen descargas falsas o actualizaciones de software que, al ser instalados, descargan el malware en el dispositivo del usuario.
- Exploits de softwares vulnerables: los ciberdelincuentes pueden aprovechar vulnerabilidades de software conocidas para instalar el malware en el dispositivo del usuario.
- Actualizaciones falsas de software: los ciberdelincuentes también usan actualizaciones de software falsas para instalar el malware en el dispositivo del usuario.
- Instalación a través de otros malwares: los ciberdelincuentes pueden usar otros tipos de malware, como RATs (Remote Access Trojans) o keyloggers, para instalar el malware stealer en el dispositivo del usuario.
¿Cómo funcionan los stealers?
Los malware de tipo stealer se distribuyen por diversos medios, que incluyen:
- Instalación: Se instala en el dispositivo del usuario a través de uno de los medios antes mencionados, como phishing, adjuntos de e-mails maliciosos o descargas de sitios maliciosos.
- Recolección de información: Una vez instalado, empieza a rastrear y capturar información sensible, como contraseñas, números de tarjetas de crédito y datos bancarios. Esto se realiza a partir de captar los datos digitados por el usuario, o del acceso a archivos de configuración del sistema.
- Transmisión de la información: En el siguiente paso, la información recolectada se transmite a los ciberdelincuentes que crearon el malware. Esto habitualmente se realiza a través de la generación de una conexión remota con un servidor controlado por los mismos ciberdelincuentes.
- Ocultarse: El software malicioso puede esconderse para evitar ser detectado por los softwares de seguridad, y de esta forma puede continuar la recolección de información sin ser eliminado del dispositivo.
- Utilización de la información: Los ciberdelincuentes pueden llevar a cabo actividades ilícitas a partir del uso de la información robada. Las más comunes son las compras fraudulentas, el acceso a cuentas bancarias o la venta de información a otros ciberdelincuentes.
Algunos ejemplos de stealers famosos
Existen muchos ejemplos de malwares de tipo stealer famosos que han sido detectados y analizados a lo largo del tiempo. Algunos de los más notorios son:
- ZeuS: Uno de los primeros stealers de información bancaria. La primera vez que se detectó fue en 2007, y su acción fue robar millones de dólares de cuentas bancarias. El modo de propagación era el phishing y adjuntos de e-mails maliciosos y se camuflaba como software legítimo.
- SpyEye: Un derivado de ZeuS. Se detectó por primera vez en 2009 y se lo responsabilizó por robar millones de dólares de cuentas bancarias.
- Dridex: Un stealer de información bancaria detectado por primera vez en 2014. Se propagaba a través de phishing y de adjuntos de e-mails maliciosos. También fue responsable por robar millones de dólares de cuentas bancarias.
- Emotet: Un stealer de información bancaria detectado por primera vez en 2014. Se propagaba a través de phishing y de adjuntos de e-mails maliciosos y fue encontrado culpable de robar millones de dólares de cuentas bancarias.
- Trickbot: Un stealer de información bancaria detectado por primera vez en 2016. Se propagaba a través de phishing y de adjuntos de e-mails maliciosos y ha sido responsable por robar millones de dólares de cuentas bancarias. También poseía la capacidad de propagarse hacia otros dispositivos y se considera que representó una amenaza seria a la ciberseguridad.
Principales stealers en actividad
Existen muchos malwares de tipo stealer activos en todo el mundo, y continúan descubriéndose nuevos. Algunos de los principales, que actualmente están en actividad son:
- AZORult: Un stealer de información que se difunde a través de phishing y de adjuntos de e-mails maliciosos, y tiene la capacidad de robar información como contraseñas, cookies y archivos del sistema.
- FormBook: Un stealer de información que se propaga a través de phishing y de adjuntos de e-mails maliciosos, y tiene la capacidad de robar información como contraseñas, números de tarjetas de crédito y datos bancarios.
- LokiBot: Un stealer de información que se difunde a través de phishing y de adjuntos de e-mails maliciosos, y tiene la capacidad de robar información como contraseñas, números de tarjetas de crédito y datos bancarios.
- RedLine: Un stealer de información que se propaga a través de phishing, ingeniería social y software vulnerable, y cuenta con la capacidad de ocultarse y evitar ser detectado por los softwares de seguridad.
- Snatch: Un stealer de información que se difunde a través de phishing y de adjuntos de e-mails maliciosos, y posee la capacidad de robar informaciones como contraseñas, números de tarjetas de crédito y datos bancarios.
- GandCrab: Un stealer de información que se propaga a través de phishing y de adjuntos de e-mails maliciosos y tiene la capacidad de robar información como contraseñas, números de tarjetas de crédito y datos bancarios.
Es necesario advertir que esta lista puede no ser exhaustiva, ya que continúan descubriéndose nuevos malwares stealers. Se recomienda estar atentos a las novedades en seguridad y mantener los softwares de seguridad actualizados para protegerse de estas amenazas.
¿Cómo protegerse de los stealers?
Existen varias medidas que los usuarios pueden tomar para protegerse de los stealers:
- Mantener actualizado el software de seguridad: un software de seguridad actualizado puede ayudar a detectar y remover malwares de tipo stealer.
- Mantener actualizados el sistema operativo y los programas: esto es importante para corregir vulnerabilidades conocidas que podrían ser aprovechadas por malwares.
- Evitar cliquear en links y adjuntos desconocidos: no hacer clic en links o adjuntos de e-mails o mensajes de texto desconocidos, ya que estos pueden provocar la instalación del malware en el dispositivo.
- No usar softwares piratas o programas destinados a la piratería, pues, además de no ser ético, habitualmente contienen programas maliciosos.
- Emplear buenas prácticas de seguridad: elegir contraseñas fuertes, evitar conexiones de redes desconocidas y no compartir información personal puede ser útil para protegerse contra las amenazas de malware.
Los riesgos que traen los stealers a las empresas
Los stealers pueden causar serios daños a las empresas, pues la información robada potencialmente será usada para acceder a cuentas financieras, realizar compras fraudulentas o, inclusive, extorsionar a la compañía.
Las empresas también pueden sufrir daños financieros directos, como multas y pérdida de clientes, debido a las filtraciones de datos. También puede verse afectada su reputación, si esta violación de datos se hace pública.
Además, las empresas deben considerar la contratación de un servicio de seguridad cibernética para encargarse del monitoreo y la protección de la superficie externa de ataque.
Las credenciales robadas se pueden utilizar en ataques posteriores, como Ransomware y acceso indebido a sistemas críticos. Esto generalmente ocurre cuando un stealer infecta a un dispositivo corporativo en que se han guardado las credenciales.
El autor del artículo recomienda usar un servicio de inteligencia de amenazas a fin de proteger a la empresa de las amenazas cibernéticas.
Un servicio de inteligencia de amenazas puede proveer información sobre las últimas amenazas y vulnerabilidades conocidas, como también proporcionar recomendaciones de mitigación. Algunos servicios también ofrecen monitoreo continuo y alertas en tiempo real, para ayudar en la detección y rápida respuesta ante los incidentes de seguridad.
Axur, por ejemplo, realiza el monitoreo continuo de los mercados de credenciales y notifica a sus clientes sobre las credenciales corporativas y personales que puedan haberse filtrado o estar expuestas para su comercialización.
Conclusión
Es imprescindible que los usuarios tengan conocimiento sobre el riesgo de los stealers, pues estos pueden robar información valiosa y confidencial, como contraseñas, números de tarjetas de crédito y datos bancarios. Esta información potencialmente será usada para realizar actividades ilícitas, como compras fraudulentas, acceso a cuentas bancarias, o, inclusive, puede ser vendida a otros ciberdelincuentes. Además, los stealers tienen la capacidad de ocultarse y evitar ser detectados por softwares de seguridad, lo que los vuelve aún más peligrosos. Por esto, es importante estar siempre atentos a las noticias de seguridad, mantener actualizados softwares de protección y seguir las buenas prácticas de seguridad para protegerse de estas amenazas.
Expertos en crear contenido relevante de ciberseguridad externa para hacer de internet un lugar más seguro.