Se observa que los tres Info-Stealers que más afectan a nuestra región son RedLine, Raccoon y Lumma. Si bien estos malware comparten el objetivo común de robar credenciales e información, presentan diferencias en cuanto a sus métodos de infección, tipos de datos que sustraen y capacidad de evasión.
A continuación, analizaremos cada uno en detalle.
RedLine
En la imagen anterior se puede observar que Redline (en azul) es frecuente en esta región. Fuente: Mcafee
Se trata de un malware del tipo Info-Stealer, disponible para su adquisición en foros de cibercriminales. Una vez adquirido, los criminales lo distribuyen a las víctimas a través de sitios web fraudulentos que imitan la identidad de software legítimo, como clientes de VPN o convertidores de archivos en línea. En las versiones más recientes, este malware también ha sido detectado en juegos que suplantan a versiones originales.
Cuando el usuario ejecuta el malware en su computadora, este comienza a desplegar su actividad. En primer lugar, realiza un análisis anti-forense del sistema infectado para evitar ser detectado y analizado. Se comunica con el servidor de comando y control (C2) que le indica las acciones que debe realizar en la máquina víctima.
(Acceso libre, no requiere suscripción)
A continuación, el malware procede a extraer datos sensibles del usuario, que incluyen, entre otras:
Información sobre el sistema víctima.
credenciales, cookies, tarjetas de créditos y enlaces a redes sociales desde los navegadores de la víctima
Datos de clientes FTP (FileZilla, WinSCP)
Datos de clientes de mensajería instantánea.
Billeteras de criptomonedas; y
Archivos específicos solicitados por el Command and Control.
Una vez que el malware ha recolectado la información deseada, la ofusca (disfraza) y la protege con cifrado antes de enviarla a los servidores de comando y control del cibercriminal.
Las primeras versiones de este malware fueron observadas en 2019 en foros de cibercriminales, donde se ofrecía como Malware As a Service (MaaS). A pesar de que el principal desarrollador fue arrestado y su infraestructura desmantelada, en 2023 reapareció con una nueva versión, disponible por suscripción en foros ilegales.
A continuación, el malware procede a extraer datos sensibles del usuario, que incluyen, entre otras:
Información sobre el sistema víctima.
credenciales, cookies, tarjetas de créditos y enlaces a redes sociales desde los navegadores de la víctima
Datos de clientes FTP (FileZilla, WinSCP)
Datos de clientes de mensajería instantánea.
Billeteras de criptomonedas; y
Archivos específicos solicitados por el Command and Control.
Una vez que el malware ha recolectado la información deseada, la ofusca (disfraza) y la protege con cifrado antes de enviarla a los servidores de comando y control del cibercriminal.
Las primeras versiones de este malware fueron observadas en 2019 en foros de cibercriminales, donde se ofrecía como Malware As a Service (MaaS). A pesar de que el principal desarrollador fue arrestado y su infraestructura desmantelada, en 2023 reapareció con una nueva versión, disponible por suscripción en foros ilegales.
Las características de este malware son:
Soporte para robar información de más de 60 aplicaciones.
No realiza análisis anti-forense.
Ofrece interfaz para buscar credenciales por parte de los suscriptores
La comunicación con el comando y control es cifrada
Soporta el robo de una amplia gama de billeteras de criptomonedas.
Realiza captura de pantallas y obtiene información de las teclas presionadas por la víctima (función keylogger).
Panel con credenciales obtenidas por el Malware. Fuente: Socradar.
Este Info-Stealer tiene la propiedad de eliminar los archivos descargados durante su infección luego de realizada la actividad que le ordenó el comando y control.
Lumma
Este malware del tipo Info-Stealer, surgido a principios de 2023, se destaca por su poderosa capacidad de protegerse contra análisis mediante técnicas avanzadas de ofuscación y medidas anti-forenses. Al igual que versiones anteriores, se comercializa en foros de cibercriminales y en varios grupos de Telegram. Su gran capacidad de modificación, combinada con la ausencia de dependencias del sistema afectado, le permite evadir eficazmente la detección por parte de sistemas de seguridad, como los antivirus. El modelo de negocio de los creadores es por suscripción a los datos recolectado por el malware con pagos periódicos.
Para propagar este malware entre sus víctimas los cibercriminales hacen uso de software pirateados (cracked software), es decir, aplicaciones fraudulentas que permiten usar de manera gratuita un software licenciado. Los criminales esconden dentro del software pirata su malware que es instalado a la vez que el usuario ejecuta el software pirata. Otro vector de ataque son mensajes por redes sociales y campañas de phishing dirigidos (spear phishing).
Entre los datos que recolecta de las víctimas y envía a su comando y control son:
Billeteras de criptomonedas.
Billeteras alojadas en extensiones de navegadores.
Perfil de usuario en navegadores.
Cookies de sesión.
Credenciales guardadas en navegadores.
Ofrecen la posibilidad de extraer datos de segundo factor de autenticación en extensiones de navegadores.
Realiza capturas de pantalla.
Captura información del sistema operativo.
Reflexiones Finales
Aunque el software malicioso evoluciona constantemente en respuesta a nuevas medidas de protección, las buenas prácticas en el uso de tecnologías de la información siguen siendo nuestra mejor defensa contra la mayoría de los ciberataques. El principal vector de ataque continúa siendo el factor humano, por la falta de formación o un exceso de confianza en fuentes ilegítimas.
Mantenerse alerta ante ataques de ingeniería social, evitar la instalación de software de procedencia dudosa y activar el segundo factor de autenticación son medidas fundamentales para reducir significativamente el riesgo de ser víctimas de estos ataques.
