Nuevo stealer a la venta: "Stealc"

Iniciado por AXCESS, Febrero 20, 2023, 08:22:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 20, 2023, 08:22:04 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo ladrón de información (Stealer) llamado Stealc ha emergido en la dark web ganando terreno debido a la promoción agresiva de capacidades de robo y similitudes con malware del mismo tipo como Vidar, Raccoon, Mars y Redline.

Los investigadores de seguridad de la compañía de inteligencia de amenazas cibernéticas SEKOIA detectaron la nueva cepa en enero y notaron que comenzó a ganar terreno a principios de febrero.

Nuevo "Stealer" a la venta

Stealc ha sido anunciado en foros de piratería por un usuario llamado "Plymouth", quien presentó el malware como una pieza de malware con amplias capacidades de robo de datos y un panel de administración fácil de usar.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según el anunciante, además de la orientación típica de los datos del navegador web, las extensiones y las billeteras de criptomonedas, Stealc también tiene un capturador de archivos personalizable que se puede configurar para apuntar a cualquier tipo de archivo que el operador desee robar.

Después de la publicación inicial, Plymouth comenzó a promocionar el malware en otros foros de piratería y en canales privados de Telegram, ofreciendo muestras de prueba a clientes potenciales.

El vendedor también creó un canal de Telegram dedicado a publicar los registros de cambios de la nueva versión de Stealc, siendo la más reciente v1.3.0, lanzada el 11 de febrero de 2023. El malware se desarrolla activamente y aparece una nueva versión en el canal cada semana.

Plymouth también dijo que Stealc no se desarrolló desde cero, sino que se basó en los ladrones de Vidar, Raccoon, Mars y Redline.

Una característica común que encontraron los investigadores entre los ladrones de información Stealc y Vidar, Raccoon y Mars es que todos descargan archivos DLL legítimos de terceros (por ejemplo, sqlite3.dll, nss3.dll) para ayudar con el hurto de datos confidenciales.

En un informe de hoy, los investigadores de SEKOIA señalan que las comunicaciones de comando y control (C2) de una de las muestras que analizaron compartían similitudes con las de los ladrones de información de Vidar y Raccoon.

Los investigadores descubrieron más de 40 servidores C2 para Stealc y varias docenas de muestras en la naturaleza, lo que indica que el nuevo malware ha atraído el interés de la comunidad ciberdelincuente.

Esta popularidad puede deberse al hecho de que los clientes con acceso al panel de administración pueden generar nuevas muestras de stealers, lo que aumenta las posibilidades de que el malware se filtre a un público más amplio.

A pesar del modelo de negocio deficiente, SEKOIA cree que Stealc representa una amenaza importante, ya que podría ser adoptado por ciberdelincuentes menos técnicos.

Funciones de StealcStealc ha agregado nuevas funciones desde su primer lanzamiento en enero, incluido un sistema para aleatorizar las URL de C2, un mejor sistema de búsqueda y clasificación de registros (archivos robados), y una exclusión para las víctimas en Ucrania.

Hitos de desarrollo de malware (SEKOIA)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las características que SEKOIA pudo comprobar analizando la muestra capturada son las siguientes:

    Construcción ligera de solo 80 KB
    Uso de archivos DLL legítimos de terceros
    Escrito en C y abusando de las funciones de la API de Windows
    La mayoría de las cadenas están ofuscadas con RC4 y base64
    El malware extrae los datos robados automáticamente
    Se dirige a 22 navegadores web, 75 complementos y 25 billeteras de escritorio

El informe actual de SEKOIA no incluye todos los datos obtenidos de la ingeniería inversa Stealc, pero proporciona una descripción general de los principales pasos de su ejecución.

Cuando se implementa, el malware elimina la ofuscación de sus cadenas y realiza comprobaciones antianálisis para garantizar que no se ejecute en un entorno virtual o sandbox.

A continuación, carga dinámicamente las funciones de WinAPI e inicia la comunicación con el servidor C2, enviando el identificador de hardware de la víctima y el nombre de compilación en el primer mensaje y recibiendo una configuración en respuesta.

Instrucciones de configuración sobre a qué navegadores apuntar (SEKOIA)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Luego, Stealc recopila datos de los navegadores, las extensiones y las aplicaciones objetivo, y también ejecuta su capturador de archivos personalizado si está activo, y finalmente extrae todo al C2. Una vez que finaliza este paso, el malware se elimina a sí mismo y los archivos DLL descargados del host comprometido para borrar los rastros de la infección.

Para obtener la lista completa de las capacidades y aplicaciones específicas de Stealc, consulte la sección del Anexo 1 en el informe de SEKOIA.

Un método de distribución que observaron los investigadores es a través de videos de YouTube que describen cómo instalar software descifrado y vinculan a un sitio web de descarga.

Sitio web malicioso que difunden Stealc a las víctimas (SEKOIA)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores dicen que la descarga del software incorpora el ladrón de información Stealc. Una vez que se ejecuta el instalador, el malware comienza su rutina y se comunica con su servidor.

SEKOIA ha compartido un gran conjunto de indicadores de compromiso que las empresas pueden usar para defender sus activos digitales, así como las reglas de YARA y Suricata para detectar el malware en función de la rutina de descifrado, las cadenas específicas y el comportamiento.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario