Los ciberdelincuentes utilizan el malware Stealers para robar cookies

Los ciberdelincuentes utilizan malware del tipo Stealer para robar cookies

Por Heimdall: Ante las diversas amenazas digitales que surgen día a día, los ciberdelincuentes apuestan sin duda por el uso de malware de tipo stealer (centrado en el robo de información) para lucrarse con los datos robados. Como ejemplo, podemos mencionar el malware conocido como Redline Stealer, que se ha convertido en una de las principales opciones de los ciberdelincuentes para robar datos, ya sean credenciales o billeteras de criptomonedas.

Cabe señalar que existe una gran variedad de programas maliciosos de robo, que facilitan el robo de cuentas utilizando las cookies de las sesiones guardadas en los navegadores.

Tras obtener una gran cantidad de información de credenciales de víctimas de todo el mundo, estos ciberdelincuentes acaban vendiendo la información en formato "log". La venta puede tener lugar en canales de ciberdelincuencia en Telegram o en foros de la Dark Web como RussianMarket, Breach Forums, RuTOR, XSS y muchos otros.

Si se realiza una compra, a partir de la información recogida por el malware, el comprador podrá hacerse pasar por la víctima utilizando las credenciales robadas o incluso las cookies, facilitando así la entrada en una red corporativa utilizando credenciales VPN, realizar otro tipo de fraudes o incluso revender estas credenciales a terceros.

En este artículo, le daremos una visión general del mercado de la venta de registros de robo centrándonos en las cookies, explicando cómo se produce el robo y cuál es su destino final.   

Malware ladrón

El malware stealer o infostealer se considera un tipo de malware que se distribuye en diversos formatos, ya sea a través de botnets, adjuntos maliciosos a correos electrónicos de phishing, campañas de spam, campañas de malvertising, sitios web infectados y muchos otros.

La función principal de este malware es robar información del dispositivo infectado, incluyendo información como:

  • Credenciales almacenadas en navegadores (más de 100 tipos);
  • Cookies de sesión activa;
  • Credenciales o información de conexión FTP;
  • Robo de variables del sistema operativo;
  • Historial del navegador;
  • Campos de autorrelleno del navegador;
  • Fichas de la aplicación Discordia y otras aplicaciones;
  • Recopilación de información de las VPN;
  • Recopilación de información de clientes de correo electrónico;
  • Recopilación de determinados archivos almacenados en el dispositivo;
  • Recogida de información sobre credenciales de almacenes o cualquier otro repositorio;
  • Recopilación de credenciales e información de monederos de criptomonedas como Bitcoin, Monero, etc;
  • Recogida de información financiera;
  • Recopilación de información del dispositivo, como la huella dactilar;
  • Recopilación de información del autenticador de doble factor;
  • Y otra información que los desarrolladores de este malware pueden encontrar útil.

Otro detalle importante es que este tipo de malware se ofrece en la Dark Web en formato de servicio (Malware-as-a-Service), en el que un usuario sólo necesita adquirir una licencia para utilizar este malware, pagando en ocasiones cantidades bajas, como 130 dólares para utilizar la versión básica de Vidar Stelaer durante 7 días, según el anuncio del malware.

Se anuncian los precios del Stealer Vidar

A modo de ejemplo, he aquí algunos de los ladrones identificados y vigilados por el equipo de inteligencia de ISH:

Vidar Stealer anunciado en un foro de la Dark Web
Ejemplo del cuadro de mandos del Stealer proporcionado por el vendedor
Medusa Stealer anunciado en un foro de la Dark Web
Continental Stealer anunciado en un foro de la Dark Web

Algunos de los programas maliciosos de robo de información más conocidos son:

  • Ladrón de mapaches
  • Robo RedLine
  • Robo de Aurora
  • Rhadamanthys
  • RecordBreaker
  • BlueFox
  • DuckTrail
  • BlackGuard
  • RisePro
  • StrelaStealer
  • Robo de BlueFox
  • Ladrón Vidar
  • Robo de Marte
  • LokiBot
  • qRobador de bits
  • Robo atómico
  • TrapStealer
  • Robo de Lumma
  • Meduza Stealer
  • PureLand Stealer

Vale la pena señalar que no nos limitamos a estos nombres de ladrones, sólo presentamos algunos de los principales que están activos en el mercado de la ciberdelincuencia.

Cookies: qué son y cómo se roban los datos

Desde la segunda mitad de 2022, el malware infostealer se ha centrado en robar cookies vinculadas a la identificación y autenticación, proporcionando a los ciberdelincuentes un nuevo tipo de información que recopilar y utilizar posteriormente para lograr sus objetivos.

Cabe destacar que el robo de credenciales es el método más obvio por el que operan estos ladrones y ciberdelincuentes, pero el aumento del uso de la autenticación multifactor (MFA) para proteger las cuentas ha reducido la aproximación al robo de credenciales por sí solo, por lo que los ciberdelincuentes han evolucionado y han comenzado a robar cookies asociadas a las credenciales para clonar las sesiones web activas, saltándose así la MFA.

Esta posibilidad de robar cookies ha supuesto una gran arma para los ciberdelincuentes, ya que pueden adquirir o robar cookies de determinados usuarios de grandes organizaciones y aplicar un "bypass" a sus accesos, consiguiendo así acceder a la red corporativa.

Uno de los ejemplos de estas actividades fue llevado a cabo por el grupo Lapsus$, en el que según los autores del ciberataque a EA, compraron la sesión de cookies de un usuario, dándoles acceso a la instancia de Slack de la compañía, lo que les permitió falsificar el inicio de sesión existente del empleado. Como resultado, el grupo robó 780 gigabytes de datos, incluyendo código fuente de juegos y más.

¿Qué son las cookies?

Una cookie es un pequeño fragmento de datos que se almacena en el navegador del usuario cuando accede a un sitio web. Las cookies pueden utilizarse para diversos fines, como mantener la sesión iniciada, recordar las preferencias del sitio web o hacer un seguimiento de las sesiones, entre otros.

Los navegadores almacenan las cookies de sesión en un archivo. En el caso de los navegadores Mozilla Firefox, Google Chrome y Microsoft Edge, el fichero está en formato SQLite y se encuentra en las carpetas de usuario del programa, estando la cookie"auth_token", por ejemplo, dentro de este fichero.

Ejemplo de cookies almacenadas en un archivo ".salite

La justificación del uso del robo de cookies es que las cookies asociadas a la autenticación en servicios web pueden ser utilizadas por los atacantes en ataques conocidos como "pasar la cookie ", intentando así suplantar al usuario legítimo al que se emitió originalmente la cookie y obtener acceso a los servicios web sin necesidad de iniciar sesión.

A modo de ejemplo, el siguiente diagrama muestra el método normal utilizado por un usuario para autenticar una sesión en un servidor web.

Diagrama que representa la sesión normal en un servidor web

El siguiente diagrama muestra cómo un ciberdelincuente lleva a cabo un ataque "pass-the-cookie".

Diagrama que muestra el ataque realizado por un ciberdelincuente para robar cookies

Este tipo de ataque podría llevar a la explotación de servicios web, software-as-a-service, movimiento lateral, compromisos de correo electrónico y muchos otros tipos de acceso que se pueden obtener con la cookie de sesión.

Por ello, también presentamos algunos ejemplos de acciones que pueden utilizarse para frustrar cualquier intento de este tipo de ataques dirigidos a robar cookies a través de malware.

Cómo protegerse

Heimdall, el equipo de inteligencia de amenazas de ISH, recomienda borrar regularmente las cookies y otra información de autenticación de los navegadores, reduciendo así la superficie potencial de ataque proporcionada por los perfiles de los navegadores, y las organizaciones pueden intentar utilizar herramientas para controlar el periodo de cookies permitidas.

Además de estas recomendaciones, se pueden utilizar otras para evitar infectarse con el malware stealer, como:

  • Actualice el software con regularidad: mantenga actualizados el sistema operativo, el navegador y todo el software, especialmente el de seguridad.
  • Utilice software antivirus: Instale y mantenga un software antivirus.
  • Activa el cortafuegos: Utiliza el cortafuegos de tu sistema operativo o un cortafuegos de terceros para supervisar y controlar el tráfico entrante y saliente de tu ordenador.
  • Practica una navegación segura:
    • Evite hacer clic en enlaces desconocidos o sospechosos.No realice descargas de fuentes poco fiables.Compruebe siempre las URL para asegurarse de que visita sitios legítimos.
    • Utiliza la navegación privada cuando sea necesario.
  • Educación sobre ciberseguridad: conozca las tácticas habituales de phishing e ingeniería social.
  • Utilice contraseñas seguras y gestores de contraseñas: cree contraseñas seguras y únicas para cada cuenta y considere la posibilidad de utilizar un gestor de contraseñas fiable para almacenarlas de forma segura.
  • Active la autenticación de dos factores (2FA): siempre que sea posible, active la autenticación de dos factores para sus cuentas en línea.
  • Cuidado con los archivos adjuntos y las descargas de correo electrónico: tenga cuidado al abrir archivos adjuntos o descargar archivos de correos electrónicos no solicitados, sobre todo si parecen sospechosos o proceden de remitentes desconocidos.
  • Limite los privilegios de los usuarios: utilice cuentas con privilegios limitados para el uso diario, reservando las cuentas administrativas sólo para las tareas que las requieran.

ISH cuenta con un equipo de Inteligencia de Amenazas preparado para anticipar y mitigar los riesgos, protegiendo los activos valiosos y manteniendo la continuidad e integridad del negocio. Póngase en contacto con nosotros e infórmese.

Etiquetas: SEGURO, , , , , , MALWARE,

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.