Stealers, stealers y más stealers

Introducción

Los stealers son una amenaza significativa en el panorama del malware. A lo largo del año pasado hicimos públicas nuestras investigaciones sobre varios stealers (vea aquí, aquí y aquí), y por ahora la tendencia parece seguir su ritmo. En los últimos meses escribimos varios informes privados sobre los stealers, ya que descubrimos Acrid (un nuevo stealer), ScarletStealer (otro nuevo stealer) y Sys01, que se actualizó bastante desde el último análisis publicado.

Para obtener más información sobre nuestro servicio de denuncias de crimeware, escríbanos a crimewareintel@kaspersky.com.

Acrid

Acrid es un nuevo stealer descubierto en diciembre del año pasado. A pesar del nombre, no comparte ningún parecido con el stealer AcridRain. Acrid está escrito en C++ para sistemas de 32 bits, a pesar de que hoy en día la mayoría de los sistemas son de 64 bits. Tras una inspección más detallada del malware, quedó clara la razón de compilar para un entorno de 32 bits: el autor decidió utilizar la técnica “Heaven’s Gate”. Esto permite a las aplicaciones de 32 bits acceder al espacio de 64 bits, saltándose ciertas medidas de seguridad.

Implementación de la técnica Heaven’s Gate en Acrid

En términos de funcionalidad, el malware incorpora las funciones típicas que cabría esperar de un stealer:

• Robo de datos del navegador (cookies, contraseñas, datos de inicio de sesión, información de tarjetas de crédito, etc.);
• Robo de carteras locales de criptomonedas;
• Robo de archivos con nombres específicos (por ejemplo, wallet.dat, password.docx, etc.);
• Robo de credenciales de aplicaciones instaladas (administradores de FTP, mensajeros, etc.).

Tras recoger los datos, los comprime y envía al C2.

El malware es de sofisticación media. Tiene cierto grado de complejidad, como el cifrado de cadenas, pero carece de funciones innovadoras.

ScarletStealer

El pasado mes de enero, analizamos un descargador al que apodamos Penguish (lo describimos en detalle en un informe privado). Una de las cargas útiles que descargaba era un stealer desconocido al que bautizamos ScarletStealer.

ScarletStealer es un stealer bastante extraño, ya que la mayor parte de su funcionalidad de robo está contenida en otros binarios (aplicaciones y extensiones de Chrome) que descarga. Para ser más precisos, cuando se ejecuta ScarletStealer, comprueba la presencia de criptomonedas y criptocarteras comprobando determinadas rutas de carpetas (por ejemplo, %APPDATA%\Roaming\Exodus). Si detecta alguna, comienza a descargar los ejecutables adicionales mediante el siguiente comando de PowerShell:

Entre los binarios que descarga se encuentran metaver_.exe (utilizado para robar contenido de las extensiones de Chrome), meta.exe (cambia el acceso directo de Chrome para que se inicie con una extensión maliciosa) y otros. La mayoría de los ejecutables de ScarletStealer están firmados digitalmente.

Función de captura de Metamask

El stealer está muy poco desarrollado en términos de funciones y contiene muchos errores, deficiencias y código redundante. Por ejemplo, el malware intenta ganar persistencia en el sistema creando una clave de registro para la ejecución automática. La clave de registro contiene la ruta al archivo Runtimebroker_.exe; sin embargo, no encontramos ningún código en ninguno de los archivos implicados en la infección que almacenara al menos un archivo ejecutable con ese nombre.

Por lo tanto, es bastante extraño que este stealer se distribuya a través de una larga cadena de descargadores (donde el último es el descargador Penguish) y esté firmado con un certificado digital. Cabría esperar que todo este esfuerzo diera como resultado un stealer más avanzado que el ScarletStealer.

Las víctimas de este stealer se encuentran sobre todo en Brasil, Turquía, Indonesia, Argelia, Egipto, India, Vietnam, Estados Unidos, Sudáfrica y Portugal.

Sys01

SYS01 (también Album Stealer o S1deload Stealer) es un stealer relativamente desconocido que existe desde al menos 2022. Ya ha sido descrito por Bitdefender, Zscaler y Morphisec. En sus informes, se puede ver su evolución desde stealer escrito en C# hasta escrito PHP. Cuando empezamos a investigar esta campaña, nos dimos cuenta de que se trataba de una combinación de ambas, una carga útil escrita en C# y PHP.

Lo que no ha cambiado es el vector de infección. Sigue engañando a los usuarios para que descarguen un archivo ZIP malicioso disfrazado de video para adultos en una página de Facebook:

Publicidad del archivo ZIP malicioso en una página de Facebook comprometida

El archivo contiene un binario legítimo (en este caso WdSyncservice.exe, rebautizado como PlayVideoFull.exe) que carga una DLL maliciosa llamada WDSync.dll. La DLL abre un video para adultos y ejecuta la siguiente carga útil, que es un archivo PHP malicioso codificado con ionCube.

El archivo PHP ejecutado invoca el script install.bat, que en última instancia ejecuta la siguiente etapa mediante la ejecución de un comando de PowerShell. Esta capa tiene el conveniente nombre de runalayer y ejecuta lo que parece ser la carga útil final llamada Newb.

Sin embargo, hay una diferencia entre la última versión del stealer y las versiones anteriores divulgadas, que consiste en la división de sus funciones. El stealer, tal y como es ahora (Newb), contiene funciones que sirven para robar datos relacionados con Facebook y para enviar al C2 los datos robados del navegador, localizados y organizados en una estructura de directorios específica. También tiene funciones de backdoor, y puede ejecutar los siguientes comandos, entre otros:

Pero el código que realmente recopila los datos del navegador y que Newb envía al C2 se encontraba en una muestra diferente llamada imageclass. No logramos determinar con un 100% de certeza cómo imageclass irrumpe en el sistema, pero al observar el código de backdoor de Newb, creemos que es muy probable que imageclass se envíe posteriormente a través de Newb a la máquina infectada.

El archivo ZIP inicial también contiene otro archivo PHP malicioso(include.php). Este archivo tiene una funcionalidad de puerta trasera similar a la de Newb y acepta muchos de los mismos comandos en el mismo formato.

Esta campaña afectó a víctimas en todo el mundo, pero la mayoría estaban en Argelia (algo más del 15%). Lo más probable es que esto tenga que ver con el vector de la infección, ya que puede estar muy localizada. También hemos observado que los autores del malware tienen preferencia por los TLD .top.

Conclusión

Los stealers son una amenaza eminente que no desaparece. En este post, hemos analizado la evolución de un stealer conocido, así como dos stealers completamente nuevos, con diferentes niveles de complejidad. El que cada cierto tiempo aparezcan nuevos stealers, sumado a que su funcionalidad y sofisticación varían enormemente, indica que existe una demanda de stealers en el mercado delictivo.

El peligro de los stealers reside en las consecuencias. Este malware roba contraseñas y otra información confidencial, que más tarde se puede utilizar para otros fines maliciosos que resultan en grandes pérdidas financieras, entre otros. Para protegerse de los stealers y otras amenazas, es importante seguir un par de normas básicas de higiene. Siempre instale las últimas actualizaciones de seguridad en su software, no descargue archivos de fuentes dudosas y no abra adjuntos en correos electrónicos sospechosos. Por último, si quiere estar aún más seguro, también puede ayudarle a proteger su sistema una solución de seguridad que observe el comportamiento de los eventos en su máquina (como nuestro componente SystemWatcher).

Si desea mantenerse al día de las últimas TTP utilizadas por los delincuentes, o si tiene alguna pregunta sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.

Indicadores de compromiso

Acrid
abceb35cf20f22fd8a6569a876e702cb
2b71c81c48625099b18922ff7bebbf51
b9b83de1998ebadc101ed90a6c312da8

ScarletStealer
1d3c3869d682fbd0ae3151b419984771
c0cf3d6d40a3038966f2a4f5bfe2b7a7
f8b2b941cffb9709ce8f422f193696a0

Sys01
0x6e2b16cc41de627eb7ddcd468a037761
0x21df3a69540c6618cfbdaf84fc71031c
0x23ae473bc44fa49b1b221150e0166199