¿Te imaginas que un programa malicioso pudiera acceder a toda la información que guardas en tu navegador web? Contraseñas, cookies, datos de autocompletar, capturas de pantalla, tokens de Discord, sesiones de Steam y Telegram… Todo eso y más es lo que puede robar NS-STEALER, un nuevo malware basado en Java que usa bots de Discord para exfiltrar los datos sensibles de los hosts comprometidos.
Investigadores de ciberseguridad han descubierto un nuevo ladrón de información "sofisticado" basado en Java que utiliza un bot de Discord para filtrar datos confidenciales de hosts comprometidos. El malware, llamado NS-STEALER, se propaga a través de archivos ZIP disfrazados de software descifrado. El archivo ZIP contiene un archivo de acceso directo de Windows fraudulento ("Loader GAYve"), que actúa como un conducto para implementar un archivo JAR malicioso que primero crea una carpeta llamada "NS-<11-digit_random_number>" para almacenar los datos recopilados.
En esta carpeta, el malware guarda posteriormente capturas de pantalla, cookies, credenciales y datos de autocompletar robados de más de dos docenas de navegadores web, información del sistema, una lista de programas instalados, tokens de Discord, datos de sesiones de Steam y Telegram. La información capturada luego se extrae a un canal de Discord Bot.
Te podrá interesar: Discord: El Terreno de Juego de los Ciberdelincuentes
"Teniendo en cuenta la función altamente sofisticada de recopilar información confidencial y utilizar X509Certificate para respaldar la autenticación, este malware puede robar rápidamente información de los sistemas víctimas con [Java Runtime Environment]", mencionó un experto en seguridad. "El canal de bot de Discord como EventListener para recibir datos extraídos también es rentable".
El desarrollo se produce cuando los actores de amenazas detrás del malware Chaes (también conocido como Chae$) lanzaron una actualización (versión 4.1) para el ladrón de información con mejoras en su módulo Chronod, que es responsable de robar las credenciales de inicio de sesión ingresadas en los navegadores web e interceptar transacciones criptográficas.
Las cadenas de infección que distribuyen el malware, aprovechan señuelos de correo electrónico con temas legales escritos en portugués para engañar a los destinatarios haciéndoles hacer clic en enlaces falsos para implementar un instalador malicioso que active Chae$ 4.1.
Pero en un giro interesante, los desarrolladores también dejaron mensajes para un investigador de seguridad que analizó extensamente Chaes en el pasado, expresando su gratitud por ayudarlos a mejorar su "software".
Conoce más sobre: Protección de Phishing: No Muerdas el Anzuelo
La mejor forma de detectar y protegerse de estos malwares es tener un antivirus actualizado y activo en el dispositivo. Los antivirus pueden identificar y bloquear los archivos maliciosos antes de que se ejecuten y causen daños. También es importante tener el sistema operativo y los navegadores web actualizados, ya que pueden contener parches de seguridad que corrigen las vulnerabilidades que los malwares pueden explotar.
Además, se recomienda seguir unas buenas prácticas de seguridad, como:
Te podría interesar leer: ¿Tu software está al día?: Importancia de los Parches
NS-STEALER y Chaes son dos ejemplos de cómo los ciberdelincuentes usan Discord para exfiltrar datos sensibles de los navegadores web y para interceptar transacciones de criptomonedas. Estos malwares son muy sofisticados y pueden robar una gran cantidad de información de los dispositivos infectados, poniendo en riesgo la privacidad y la seguridad de las víctimas.
Para evitar caer en sus trampas, es necesario tener un antivirus actualizado y seguir unas buenas prácticas de seguridad, como no descargar archivos sospechosos, no hacer clic en enlaces fraudulentos, usar contraseñas seguras, borrar el portapapeles y usar una VPN. Así, podremos navegar por Internet con más tranquilidad y confianza.