Todo lo que necesitas saber de Infostealers

Durante los últimos años ha existido un constante crecimiento en el uso de infostealers que se ofrecen como Malware as a Service (MaaS) y que su función principal es el robo de la mayor cantidad de información de un usuario, para luego ser ofrecidos a la venta en mercados negros y que dependiendo del nivel de desarrollo y capacidades de cada malware varían las características específicas de cada uno, sin embargo entre las  principales y más comunes se encuentra la sustracción de credenciales guardadas en navegadores, sistemas o servicios del equipo, mientras que la última tendencia se enfoca además en la sustracción de billeteras de criptomonedas, un tipo de ataque que han demostrado ser bastante lucrativo y escasamente regulado.

Es importante destacar que las amenazas de Infostealer se adjudican el segundo puesto en presencia de ataques a nivel nacional.

Para mayores antecedentes acerca de InfoStealer, dirigirse a boletín:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1234/
   

Infostealer

¿Como se infectan los usuarios?

Los métodos de infección de los usuarios están dados de acuerdo con el malware del que se trate, sin embargo, entre ellos no suelen existir mucha variedad en sus métodos de acceso inicial a los equipos, pero todos suelen estar dados por mecanismos de ingeniería social, logrando que el usuario voluntariamente sea quien ejecute el malware

• Acceso mediante troyanos: Este método se basa en utilizar una aplicación o algún elemento que requiera ejecución y que previamente se le ha incorporado código para ejecute el malware en segundo plano mientras presenta las características o prestaciones deseadas sin sospechar de que se está sustrayendo información por el sistema, como por ejemplo la adquisición de programas crackeados que disponen de prestaciones completas sin requerir pagar membresías o licencias, por lo que suelen ser bastante atractivos para los usuarios que no conocen las posibles consecuencias y que además de prestarle un uso recurrente, permiten brindarle persistencia al malware, ya que para eliminarlo es necesario también el software deseado.
• Acceso mediante phishing: Es conocido el acceso a sistemas para diferentes fines mediante campañas de phishing, ya sean dirigidas o genéricas, las cuales en ambos casos se aprovechan de la ingeniería social para lograr que mediante algún correo alarmante o que invita a tomar acción, se abran los documentos adjuntos enviados y terminen por descargar y ejecutar el malware.
• Por largo tiempo las campañas de phishing han desplegado malware mediante la inserción de macros maliciosas que se conectan con servidores remotos y permiten descargar y ejecutar el malware, sin embargo, esta técnica recientemente ha comenzado a renovarse explotando la vulnerabilidad llamada “Follina - CVE-2022-30190”

¿Que se sustrae?

La información contenida en estos DataLeak puede variar de acuerdo con los hábitos del usuario, ya que estos malware se enfocan directamente en el robo de credenciales guardadas principalmente en el navegador, portapapeles e historial.

Si bien lo anterior corresponde a funciones básicas y genéricas en el mundo de los infostealer, cada agrupación aplica diferentes características adicionales y distintivas que permitan de acuerdo con sus conocimientos lucrar aún más, como han sido las recientes incorporaciones de funciones para capturar billeteras de criptomonedas de escritorio o como de extensión en navegadores y cuentas asociadas a plataformas de intercambio de estas.

Si bien desde aquí es posible obtener la mayor cantidad de información, estos malware no solo capturan datos guardados sino que también son capaces de identificar información de la máquina como nombre, dominio, usuarios, IP, Sistema Operativo,  CPU, GPU, RAM, capturas de pantalla, softwares instalados y sus versiones, junto a perfilar al usuario con datos georreferenciados y detallando exactamente con que nombre de malware fueron afectados, adjudicando un identificador único para ser reconocido posteriormente por los administradores y evitar duplicidades.

Ilustración 1 - Información de usuario y equipo extraída por REDLINE

Debido a que en la mayoría de los casos se puede identificar y perfilar los datos personales de la víctima, es que esta actividad resulta tan rentable, puesto que:

Una filtración no solo expone credenciales actuales o pasadas, sino que también brinda información sobre los elementos y patrones clave de las contraseñas junto a algunos hábitos de reutilización sirviendo como un gran banco de información que puede dejar expuestos a aquellos usuarios u organizaciones con malos hábitos de reutilización de contraseñas.

Infostealers presentes en Chile y LATAM

METASTEALER

El malware infostealer llamado Meta, ha sido Identificado por primera vez en marzo de 2022, sin embargo, no ha sido hasta finales del mes de mayo donde se han visto las primeras afectaciones en Chile.

No se conoce a ciencia cierta si se encuentra vinculado a otras operaciones, sin embargo, la aparición de este infostealer recae precisamente luego de que Racoon ha sido dado de baja, por lo que tal como se ha mencionado en diferentes fuentes de información, aparentemente estaría aprovechando este vacío que dejó Racoon en los mercados underground.

Este infostealer tiene características similares a sus pares, pero se autodenomina como una versión mejorada del conocido REDLINE ya que además de las clásicas sustracciones de credenciales de navegadores y servicios del sistema, es capaz de obtener acceso a billeteras de criptomonedas instaladas en el equipo o como extensión en navegadores, siendo este un mercado que se ha convertido en un nicho de ataque bastante lucrativo debido a su escasa regulación.

REDLINE

Es el Malware as a Service (MaaS) con mayor presencia en Chile, y se encuentra distribuido principalmente mediante softwares troyanizados ofrecidos de forma gratuita para prestar servicios que originalmente son de pago.

Ilustración 2 - Venta de accesos en sitio DDW obtenidos por REDLINE

Este malware es administrado directamente por sus propios operadores y luego los datos filtrados son ofrecidos en primera instancia a usuarios que han contratado el servicio, permitiendo obtener “las mejores credenciales “ que permitan desarrollar ataques de mayor sofisticación y que brinden acceso a tecnologías y plataformas organizaciones, mientras que los accesos que no representan gran relevancia para los clientes del MaaS son finalmente liberados públicamente en un proceso que puede llevar días, meses e incluso años de desfase.

VIDAR

Vidar es un infostealer que a menudo se observa como un canal para permitir la implementación de ransomware cuya actividad se evidenció originalmente a finales de 2018.

Este malware es capaz de filtrar una variedad de datos de un equipo infectado, incluida la información del sistema, los datos del navegador y principalmente credenciales, incluyendo además ID de máquina y GUID, sistema operativo, nombre de computadora, nombre de usuario actual, resolución de pantalla, idioma del teclado, información de hardware, información de red y una lista de software instalado.

Ilustración 3 – Venta de accesos en sitios DDW obtenidos por Vidar

AZORult

Es un infostealer dirigido a recopilar información de tarjetas de pago y credenciales, el que mantuvo una amplia presencia en Chile hasta al menos octubre de 2021.

Se caracterizó por ser uno de los “pioneros” en operaciones de robo de información, lo que le llevó a encontrarse en el top de malware durante varios años.

Entre sus actualizaciones en la versión 2 agregó soporte para dominios .bit., aunque luego de las mejoras de seguridad en los navegadores web, principalmente Chrome, se ha observado la incapacidad de adaptarse, lo que presume que sus operaciones se encontrarían desmanteladas.

Ilustración 4 - Venta de accesos en sitios DDW obtenidos por  AZORult

¿Dónde se pueden conseguir estas credenciales?

• Entre las formas principales de obtener acceso a estas filtraciones corresponde directamente a la adquisición del servicio MaaS con sus operadores, siendo una de las opciones más complejas debido a la interacción directa con sus responsables. Por otra parte, no está de más mencionar que este tipo de acciones son catalogadas como ilegales, por lo que podría tener repercusiones según la legislación de cada país.
• Otra forma menos invasiva de acceder a esta documentación, pero nunca asegura, es mediante compra en foros de mercado negro, que de igual forma conlleva un alto grado de exposición con actores maliciosos

Ilustración 5 - Venta de pack de accesos en foro DDW

• También existen grupos de la aplicación de mensajería instantánea Telegram desde donde es posible acceder a grupos de compartimentaje de contenido principalmente bajo invitación.

Ilustración 6 - Valores de membresía METAStealer

• Una última opción y mayormente segura, consiste en la adquisición de estos logs por servicios de terceros que dediquen esfuerzos a la recolección, recopilación e identificación de hallazgos. 

Debido a que en la mayoría de los casos se puede identificar los datos personales de la víctima, es que esta actividad resulta tan rentable, puesto que podría llevar incluso a casos de suplantación de identidad.

Panorama

El común de los casos este malware suele afectar a equipos de usuarios que no cuentan con tecnologías de seguridad como AV de pago, FireWall o Antispam, que perfectamente pueden servir de barrera para la ejecución del malware, sin embargo de existir malas prácticas en cuanto seguridad digital esto también podría afectar a equipos organizacionales, ya sea propios o de terceros que presten servicios, pudiendo exponer credenciales de acceso a plataformas web, mensajería de correo electrónico, servicios como VPN, SSH, FTP, entre otros. Por lo que es importante que existan políticas de seguridad robustas en cuanto a tenencia y uso de equipos ya que es importante limitar en la mayor medida posible las visitas a sitios de dudosa reputación, descarga no autorizada de softwares, legítimos o ilegítimos.

Otro punto importante a destacar, es que todas estas restricciones y medidas de seguridad aplican de mejor forma cuando el equipo de trabajo es entregado por la organización y no del usuario, ya que de acuerdo a la propiedad de este va a variar en gran medida las acciones y medidas mitigatorias o de prevención, ya que si el equipo es propiedad del usuario, desde la organización afectada solo es posible restringirse a sugerencias y bloqueo de credenciales, pero no involucrarse directamente con la manipulación del equipo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• De identificar filtraciones es imperante tomar contacto con los usuarios identificados para gestionar la limpieza y eliminación del malware desde su equipo a la brevedad.
• De identificar filtraciones es imperante formatear el equipo afectado en su totalidad para eradicar la amenaza.
• Es importante conocer si el usuario afectado corresponde a un proveedor conocido y si cuenta con un equipo organizacional o con equipo propio para que cada uno según corresponda, actúe de acuerdo con sus protocolos de contención de amenazas.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.