Un análisis detallado de la información robada por malwares de tipo Stealer, una de las mayores amenazas cibernéticas de hoy.

Los malware de tipo Stealer son una de las mayores amenazas cibernéticas de hoy. Estos programas maliciosos son creados para recolectar información valiosa, inclusive contraseñas, información financiera, datos personales y mucho más. Tienen la capacidad de robar información de una amplia variedad de fuentes, entre ellas, navegadores de la web, aplicaciones desktop, carteras de criptomonedas, y otras, pero ¿qué pueden recolectar estos malwares? Aquí realizamos un análisis detallado de la información robada por stealers.

¿Logs de malware?

 Popularmente conocidos como logs de malware (se comercializan y distribuyen con esa denominación), son paquetes de información sensible recolectada por un Stealer, es decir, un log (paquete) contiene toda la información robada en una acción de un Stealer.

En resumen, ¿cómo son estos logs?

A partir del análisis de un log de un famoso Stealer, que se obtuvo a través de una búsqueda en un canal de distribución en el cual se publican logs, fue posible comprobar que cuentan con la siguiente estructura:

Autofills: Directorio de archivos de texto con información sobre los formularios de autocompletar guardados en navegadores. Por lo general, estos formularios contienen direcciones de e-mails, contraseñas, domicilios particulares, tarjetas de crédito, datos personales y otras informaciones sensibles que pueden ser de gran interés para los actores maliciosos.

Cookies: Directorio de archivos de texto con cookies guardadas en los navegadores. Los actores maliciosos pueden aprovechar el uso de cookies para acceder a servicios vulnerables, autenticados como la víctima.

FileGrabber: Directorio de archivos que coinciden con los intereses predefinidos por el Stealer, en este caso, archivos sensibles. Los archivos de interés son muchas veces configurados a partir de su tipo, y los atacantes saben que, de ser robados,  muchos archivos de texto, bancos de datos, imágenes, videos, por ejemplo, pueden ofrecer beneficios a los actores maliciosos.

Steam: Directorio con archivos de información del software Steam instalado en el dispositivo infectado. Cuentas de servicios, como Steam, son relevantes para los atacantes, pues estos pueden venderlas a los interesados en los dark markets.

DomainsDetects.txt: Archivo de texto con dominios recientemente visitados en el dispositivo infectado. Es información útil para los atacantes para clasificar logs y comprobar si un dispositivo es corporativo o personal.

InstalledBrowsers.txt: Archivo de texto con los navegadores identificados por los malware, bien como las rutas en el sistema. Es información que facilita la vida de los atacantes pues expanden la recolección de datos y posibilitan que el software pueda ser aprovechado en un ataque posterior.

InstalledSoftware.txt: Archivo de texto con los softwares instalados detectados por el malware. Del mismo modo que el InstalledBrowsers.txt, es información que permite que el delincuente realice ataques posteriores, a partir de la obtención de datos sensibles.

Passwords.txt: Archivo de texto con URL, nombre de usuario, contraseña y aplicación a partir de la cual el malware realizó la recolección de la información. Son los datos sensibles más deseados por los atacantes, ya que poseen el mayor volumen del mercado.

UserInformation.txt: Archivo de texto con información sobre el hardware y sistema del dispositivo infectado. Más información útil para los ataques posteriores. También contiene la clasificación del origen de la información.

Screenshots: Capturas de pantalla en el momento de la recolección de la información. Ayuda a que el atacante pueda identificar softwares instalados que no fueron detectados por el malware a partir de InstalledSoftwares.txt, y también otros archivos de interés que no hayan sido obtenidos a través del FileGrabber.

Estos son sólo algunos ejemplos de información recopilada. Los malware de tipo Stealer son diseñados para robar una variedad de información personal y financiera, que incluye:

• Contraseñas: pueden rastrear y capturar contraseñas almacenadas en dispositivos infectados, entre las cuales se encuentran las contraseñas de cuentas de e-mail, redes sociales y cuentas bancarias on-line.
  
• Números de tarjetas de crédito: tienen capacidad para buscar y capturar números de tarjetas de crédito almacenados en dispositivos infectados, incluyendo información de tarjetas de crédito guardada en navegadores o aplicaciones de comercio electrónico.
• Datos bancarios: están preparados para rastrear y capturar información bancaria, entre ella, saldos de cuentas y transacciones recientes.
• Información personal: rastrean y capturan información personal, como nombres, direcciones, números de teléfono y datos de identificación personal.
• Información de navegación: pueden rastrear y capturar información sobre la actividad de navegación del usuario, inclusive historial de navegación, cookies y datos del formulario.
  
  
  

Punto de atención

Los Stealers también recopilan información de acceso a entornos corporativos, como credenciales de acceso a servicios RDP, VPN, SMB, FTP y otros que hayan sido guardados en el dispositivo infectado.

Con frecuencia, los accesos que obtienen los Stealers se utilizan en ataques posteriores, como los de Ransomware y robo de información sensible.

Además del monitoreo de Deep & Dark Web, destinado a encontrar los datos expuestos, es importante contar con un equipo de búsqueda e investigación cibernética especializado en Cyber Threat Intelligence, como el de Axur,  ya que este equipo contribuirá a mitigar el impacto y a reaccionar rápidamente ante amenazas como estas. 

¿Desea saber más sobre los Stealers? Encontrará más información en: Desenmascarando Malwares Stealers: cómo roban datos y cómo protegerse