Ciberdelincuentes están vendiendo un nuevo y peligroso malware con un amplio conjunto de capacidades
Un nuevo ladrón de información llamado Stealc ha emergido en la dark web ganando terreno debido a la promoción agresiva de capacidades de robo y similitudes con malware del mismo tipo como Vidar, Raccoon, Mars y Redline.
Los investigadores de seguridad de la compañía de inteligencia de amenazas cibernéticas SEKOIA detectaron la nueva cepa en enero. Asimismo, descubrieron que comenzó a ganar terreno a principios de febrero.
Nuevo malware a la venta
Stealc ha sido anunciado en foros de hacking por un usuario llamado “Plymouth”. Él presentó el malware como una pieza de malware con amplias capacidades de robo de datos y un panel de administración fácil de usar.
Según el anunciante, además de la orientación típica de los datos del navegador web, las extensiones y las billeteras de criptomonedas, Stealc también tiene un capturador de archivos personalizable. Este capturador se puede configurar para apuntar a cualquier tipo de archivo que el operador desee robar.
Después de la publicación inicial, Plymouth comenzó a promocionar el malware en otros foros de hacking y en canales privados de Telegram, ofreciendo muestras de prueba a clientes potenciales.
El vendedor también creó un canal de Telegram dedicado a publicar los registros de cambios de la nueva versión de Stealc, siendo la más reciente v1.3.0, lanzada el 11 de febrero de 2023. El malware se desarrolla activamente y aparece una nueva versión en el canal cada semana.
Plymouth también dijo que Stealc no se desarrolló desde cero, sino que se basó en los ladrones Vidar, Raccoon, Mars y Redline.
Similitudes
Una característica común que los investigadores encontraron entre los ladrones de información Stealc y Vidar, Raccoon y Mars es que todos descargan archivos DLL legítimos de terceros (por ejemplo, sqlite3.dll, nss3.dll). Esto para ayudar con el hurto de datos confidenciales.
En un informe reciente, los investigadores de SEKOIA señalan que las comunicaciones de comando y control (C2) de una de las muestras que analizaron compartían similitudes con las de los ladrones de información de Vidar y Raccoon.
Los investigadores descubrieron más de 40 servidores de comando y control (C2) para Stealc y varias docenas de muestras en el entorno. Esto indica que el nuevo malware ha atraído el interés de la comunidad ciberdelincuente.
Esta popularidad puede deberse al hecho de que los clientes con acceso al panel de administración pueden generar nuevas muestras de ladrones, lo que aumenta las posibilidades de que el malware se filtre a un público más amplio.
A pesar del modelo de negocio deficiente, SEKOIA cree que Stealc representa una amenaza importante, ya que podría ser adoptado por ciberdelincuentes menos técnicos.
Funciones de Stealc
Stealc ha agregado nuevas funciones desde su primer lanzamiento en enero, incluido un sistema para aleatorizar las URLs de C2. Además, ha adicionado un mejor sistema de búsqueda y clasificación de registros (archivos robados), y una exclusión para las víctimas en Ucrania.
Las características que SEKOIA pudo comprobar analizando la muestra capturada son las siguientes:
- Construcción ligera de solo 80 KB
- Uso de archivos DLL legítimos de terceros
- Escrito en C y abusando de las funciones de la API de Windows
- La mayoría de las cadenas están ofuscadas con RC4 y base64
- El malware exfiltra los datos robados automáticamente
- Se dirige a 22 navegadores web, 75 plugins y 25 billeteras de escritorio
El informe actual de SEKOIA no incluye todos los datos obtenidos de la ingeniería inversa a Stealc, pero proporciona una descripción general de los principales pasos de su ejecución.
Funcionamiento
Cuando se implementa, el malware elimina la ofuscación de sus cadenas y realiza comprobaciones antianálisis para garantizar que no se ejecute en un entorno virtual o sandbox.
A continuación, carga dinámicamente las funciones de WinAPI e inicia la comunicación con el servidor C2, enviando el identificador de hardware y el nombre de compilación de la víctima en el primer mensaje, y recibiendo una configuración en respuesta.
Luego, Stealc recopila datos de los navegadores, las extensiones y las aplicaciones objetivo, y también ejecuta su capturador de archivos personalizado si está activo, y finalmente exfiltra todo al C2. Una vez que finaliza este paso, el malware se elimina a sí mismo y los archivos DLL descargados del host comprometido para borrar los rastros de la infección.
Para obtener la lista completa de las capacidades y aplicaciones específicas de Stealc, debes consultar la sección del Anexo 1 en el informe de SEKOIA.
Métodos de distribución
Un método de distribución que observaron los investigadores es a través de videos de YouTube que describen cómo instalar software crackeado y vinculan a un sitio web de descarga.
Los investigadores dicen que la descarga del software incorpora el ladrón de información Stealc. Una vez que se ejecuta el instalador, el malware comienza su rutina y se comunica con su servidor.
SEKOIA ha compartido un gran conjunto de indicadores de compromiso que las empresas pueden usar para defender sus activos digitales, así como las reglas de YARA y Suricata para detectar el malware en función de la rutina de descifrado, las cadenas específicas y el comportamiento.
Teniendo en cuenta el método de distribución observado, recomendamos a los usuarios que eviten instalar software pirateado y que descarguen productos solo desde el sitio web oficial del desarrollador.