InfoStealers con mayor actividad en Chile y LATAM

Con una mención efectuada en el reporte previo, el escenario actual referente a la vida cotidiana y la interacción con la tecnología, exige enfrentarse diariamente contra múltiples amenazas cibernéticas. 

El año 2021 estuvo marcado por noticias de filtraciones de credenciales de grandes organizaciones, como también de un millar de individuales quienes dejaron en evidencia la falta de conciencia digital en el manejo de sus credenciales.

En la actualidad, las organizaciones se ven en la necesidad de aplicar controles de seguridad contra múltiples campañas maliciosas que buscan aprovechar cualquier brecha de seguridad existente en las redes. Es por ello que cobra importancia contar con el conocimiento y herramientas que nos puedan permitir disminuir estas brechas de seguridad y aumentar nuestras capas de protección frente a estas amenazas.

Es importante recordar que el usuario final suele ser el eslabón más débil de la cadena haciéndolo difícil de administrar por lo que es de suma importancia extender este entendimiento de ciberseguridad a todo aquel que utilice redes organizacionales ya que la mayoría de credenciales filtradas o comercializadas en mercado negro corresponden a vulneraciones apuntadas directamente al usuario.

Modo de distribución y operación

Si bien este tipo de amenaza no sigue un patrón de distribución común y dado su alto nivel de actualizaciones y versiones disponibles, pueden ser distribuidos por medio de emails, en sitios de descarga haciéndose pasar por otra clase de software, como parte de una segunda o tercera etapa de infección de otro malware, etc.

Los cargadores de este tipo de malware son comúnmente intérpretes de AutoHotKey y Autoit, herramientas de distribución libre y legítimas que ayudan a automatizar tareas en los equipos, principalmente aquellos con sistema operativo Windows.

Distribución y despliegue de un Infostealer
 

Los atacantes aprovechan la modularidad de estos programas legítimos para ejecutar rutinas de descarga e instalación del malware final, en este caso, Infostealer, el que finalmente creará persistencia, ejecutándose como un proceso más del sistema víctima.

Una vez comprometida la máquina, el malware reportará mediante “logs” a su servidor de comando y control, cada actualización de los eventos recopilados en el equipo, los que incluyen robo de contraseñas desde las bases de datos de los navegadores web, mapeo de pulsaciones de teclas, capacidad de obtener datos desde clipboard (copiar y pegar) y como se ha observado últimamente, efectuar búsquedas de billeteras de criptomonedas, para comprometer el acceso a estas.

Ventajas económicas de las operaciones de un Infostealer

Respecto al robo de información, además de brindar el acceso “legítimo” a cuentas bancarias o donde se efectúe transacciones de dinero, los operadores de diferentes Infostealers descubrieron que vender estos datos al mejor postor podría volverse un negocio lucrativo.

Es así que surgieron diferentes mercados donde se contrabanda la información obtenida de diferentes víctimas en todo el mundo, manteniendo presencia en foros de la Deep y Dark Net, e incluso en la Surface web.

Venta de “logs” con información de víctimas recolectadas por RedLine
 

Detectar estos sitios es una tarea compleja no por su obtención sino por la constante actualización y “huída” de los cuerpos legales, lo que se traduce en constantes cambios de TLD; diferente escenario se presenta en los foros de hacking, desde donde se comparte diferente información de acceso, así como la disponibilidad de sitios en la TOR.

Venta de “combolist” obtenidas por medio de infostealers

Malware identificado en Chile

REDLINE

Es el Malware as a Service (MaaS) con mayor presencia en Chile, y se encuentra distribuido principalmente mediante softwares troyanizados ofrecidos de forma gratuita para prestar servicios que originalmente son de pago.

Víctimas reales de infostealer RedLine
 

Este malware es administrado directamente por sus propios operadores y luego los datos filtrados son ofrecidos en primera instancia  a usuarios que han contratado el servicio, permitiendo obtener “las mejores  credenciales “ que permitan desarrollar ataques de mayor sofisticacion y que brinden acceso a tecnologías y plataformas organizaciones, mientras que los accesos que no representan gran relevancia para los clientes del MaaS son finalmente liberados públicamente en un proceso que puede llevar días, meses e incluso años de desfase.

VIDAR

Vidar es un infostealer que a menudo se observa como un canal para permitir la implementación de ransomware cuya actividad se evidenció originalmente a finales de 2018.

Víctimas reales de Infostealer Vidar
 

Este malware es capaz de filtrar una variedad de datos de un equipo infectado, incluida la información del sistema, los datos del navegador y principalmente credenciales, incluyendo además ID de máquina y GUID, sistema operativo, nombre de computadora, nombre de usuario actual, resolución de pantalla, idioma del teclado, información de hardware, información de red y una lista de software instalado.

RACOON

Malware distribuido por software troyanizado, se encuentra dirigido al robo de credenciales en general, sin embargo, para el caso de Chile existe gran cantidad de datos relacionados a robos de información bancaria, contando con vasta presencia en Chile de manera permanente a lo largo del tiempo

Víctimas reales de Infostealer Raccoon
 

Raccoon Stealer está escrito en C++ y, aunque carece de sofisticación, tiene una amplia gama de métodos y funciones para robar datos de navegadores populares, clientes de correo electrónico y billeteras de criptomonedas.

Dungeon Team Bot

Como menciona su nombre, esta amenaza  hace relación a un nombre de videojuego, por lo que se propaga principalmente por software o hacks infectados vinculados al sector Gaming, Bajo este enfoque no apunta a la suplantación bancaria ni ganancia de accesos empresariales.

Dentro de sua ctividad, la presencia en Chile y LATAM es baja pero nunca cero.

AZORult

AZORult es un infostealer dirigido a recopilar información de tarjetas de pago y credenciales, el que mantuvo una amplia presencia en Chile hasta al menos octubre de 2021.

Se caracterizó por ser uno de los “pioneros” en operaciones de robo de información, lo que le llevó a encontrarse en el top de malware durante varios años. 

Víctimas reales del Infostealer AZORult.
 

Entre sus actualizaciones en la versión 2 agregó soporte para dominios .bit., aunque luego de las mejoras de seguridad en los navegadores web, principalmente Chrome, se ha observado la incapacidad de adaptarse, lo que presume que sus operaciones se encontrarían desmanteladas.

Presencia de operadores en RRSS e internet

Como cualquier negocio exitoso y con el creciente modelo de MaaS (Malware as a Service), diferentes operadores de estas amenazas, ofrecen soporte y venta de sus “productos” en diferentes redes sociales e internet.

Venta de licencias de uso para RedLine
 

De igual forma, en diferentes foros de hacking y de acceso restringido, se ofrece venta y soporte para aquellos “clientes” menos experimentados, lo que facilita el acceso a herramientas de este tipo a posibles actores maliciosos sin conocimientos en el despliegue de operaciones que pueden causar un alto impacto en organizaciones e individuales.

Venta de servicios del Infostealer Raccoon
 

¿Qué información contienen estas filtraciones?

La información contenida en estos DataLeak pueden variar de acuerdo a los hábitos del usuario, ya que estos malware se enfocan directamente en el robo de credenciales guardadas principalmente en el navegador, portapapeles e historial.

Si bien lo anterior corresponde a funciones básicas y genéricas en el mundo de los infostealer, cada agrupación aplica diferentes características adicionales y distintivas que permitan de acuerdo a sus conocimientos lucrar aún más, como han sido las recientes incorporaciones de funciones para capturar billeteras de criptomonedas y cuentas asociadas a plataformas de intercambio de las mismas.

Si bien desde aquí es posible obtener la mayor cantidad de información, estos malware no solo capturan datos guardados si no que también son capaces de identificar y información de la máquina como nombre, dominio, usuarios, IP, Sistema Operativo,  CPU, GPU, RAM, capturas de pantalla, softwares instalados y sus versiones, junto a perfilar al usuario con datos georeferenciados y detallando exactamente con que nombre de malware fueron afectados, adjudicando un identificador único para ser reconocido posteriormente por los administradores y evitar duplicidades.

A continuación algunos ejemplos de evidencia identificada en DataLeaks:

Árbol de información capturada por REDLINE

Información de equipo y usuario afectado por REDLINE

Función de captura de crypto wallets

¿Dónde se pueden conseguir estas credenciales?

1. Entre las formas principales de obtener acceso a estas filtraciones corresponde directamente a la adquisición del servicio MaaS con sus operadores, siendo una de las opciones más complejas debido a la interacción directa con sus responsables. Por otra parte, no está de más mencionar que este tipo de acciones son catalogadas como ilegales, por lo que podría tener repercusiones según la legislación de cada país.
2. Otra forma menos invasiva de acceder a esta documentación pero nunc asegura, es mediante compra en foros de mercado negro, que de igual forma conlleva un alto grado de exposición con actores maliciosos
3. También existen grupos de la aplicación de mensajería instantánea Telegram desde donde es posible acceder a grupos de compartimentaje de contenido principalmente bajo invitación.
4. Una última opción y mayormente segura, consiste en la adquisición de estos logs por servicios de terceros que dediquen esfuerzos a la recolección, recopilación e identificación de hallazgos.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• De identificar filtraciones es imperante tomar contacto con los usuarios identificados para gestionar la limpieza y eliminación del malware desde su equipo a la brevedad.
• De identificar filtraciones es imperante formatear el equipo afectado en su totalidad para eradicar la amenaza.
• Es importante conocer si el usuario afectado corresponde a un proveedor conocido y si cuenta con un equipo organizacional o con equipo propio para que cada uno según corresponda, actúe de acuerdo con sus protocolos de contención de amenazas.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.