Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Stealer Malware 101: Desentrañando sus variantes y familias

Escrito por Gustavo Sánchez | Jan 27, 2024 10:00:00 PM

En el campo de la ciberseguridad, el malware sigue desarrollándose, atacando principalmente datos sensibles para obtener beneficios económicos. Entre ellos, el malware stealer se destaca por su capacidad de penetrar en los sistemas de manera furtiva, sustraer información importante y enviarla a entidades malintencionadas. Analizaremos algunos ejemplos notorios de este tipo de malware: Raccoon, Vidar y RedLine. 

 

¿Qué es el Stealer Malware?

 

El stealer malware, o malware de robo de información, es un tipo de software malicioso diseñado para infiltrarse en sistemas informáticos con el objetivo de robar datos confidenciales. Estos datos pueden incluir credenciales de inicio de sesión, información financiera, datos personales y más. A diferencia de otros tipos de malware que pueden dañar o bloquear sistemas, los stealers se enfocan en recopilar y transmitir información valiosa a los atacantes.

Existen numerosas variantes de malware dedicadas al robo de información, entre las que destacan Raccoon, Vidar, RedLine, LummaC2, Meta y otras. La atractiva combinación de lucratividad potencial, sencillez en su desarrollo, capacidad de adaptación y la posibilidad de explotar las vulnerabilidades del comportamiento humano, convierte a estos programas en la opción preferente para muchos ciberdelincuentes.

Se puede afirmar que RedLine, Raccoon y Vidar figuran entre los tres tipos de malware de robo más prevalentes, aunque su predominio puede fluctuar en distintos mercados clandestinos o en registros de actividades delictivas reveladas.

 

Conoce más sobre:  Rhadamanthys Stealer Malware: Una Amenaza en Evolución

 

Raccoon Stealer

 

 

Raccoon se ha hecho notable en el ámbito del cibercrimen por su sencillez y eficacia. Está disponible bajo un modelo de suscripción, costando $200 mensuales.

En cuanto a sus capacidades principales, Raccoon puede examinar la configuración del sistema, tomar capturas de pantalla, recoger datos básicos como la versión del sistema operativo, la dirección IP y el nombre de usuario, además de sustraer contraseñas y credenciales de diversos navegadores. También es capaz de obtener información de Microsoft Outlook y sustraer carteras de criptomonedas. Tras recolectar los datos, estos se compactan en un archivo .ZIP y se envían al servidor de los atacantes.

Su método de operación es sencillo pero eficaz. Raccoon se introduce en el sistema infectado, descarga módulos adicionales (principalmente dependencias DLL) y comienza a extraer información de los navegadores y del sistema, almacenándola en un archivo. Normalmente, Raccoon se difunde mediante campañas de phishing, anuncios maliciosos y kits de explotación.

 

Te podrá interesar:  ¿Qué es Malvertising?: Anuncios Maliciosos en Línea

 



Características destacadas


- Interfaz de usuario intuitiva: Raccoon es reconocido por su panel de control fácil de usar, permitiendo a los ciberdelincuentes principiantes configurar y desplegar el malware sin complicaciones.
- Recolección de datos: Obtiene información como contraseñas, cookies, datos de autocompletar e información de tarjetas de crédito de varias aplicaciones.
- Cifrado de datos: Raccoon cifra los datos robados antes de transmitirlos a su servidor de mando y control (C2), complicando su detección y análisis.

El impacto de Raccoon es considerable, dado su amplio uso en campañas de robo de credenciales, lo que puede resultar en accesos no autorizados, pérdidas económicas y robo de identidad.

 

Conoce más sobre:  Presentación de la Versión Actualizada de Raccoon Stealer.

 

Vidar Stealer

 

Vidar es un tipo de malware enfocado en el robo de datos, que tiene como objetivo principal recolectar información sensible para obtener ganancias económicas. Se comercializa en mercados clandestinos bajo un modelo de suscripción, con precios que oscilan entre 250 y 700 dólares.

La adquisición de Vidar proporciona al ciberdelincuente acceso a un panel de control, desde el cual puede personalizar el malware para apuntar a datos específicos en el ordenador de la víctima. Este panel incluye la versión actual del generador, opciones de configuración, estado del malware y registros de actividad. Vidar es capaz de sustraer historial y cookies de navegadores, registros de navegación, incluyendo datos del navegador TOR, información de autocompletar, detalles bancarios y de tarjetas de crédito. Además, Vidar puede extraer criptomonedas de carteras digitales offline. Una vez que recoge toda la información deseada, el malware la comprime y envía los datos al servidor de control, eliminando luego cualquier rastro de su actividad y autoeliminándose del sistema. 

 



Vidar se propaga mediante adjuntos de correo electrónico maliciosos, kits de explotación y sitios web comprometidos. Tras su ejecución, supervisa en secreto las actividades de la víctima y captura datos de varias aplicaciones.


Características destacadas

 

- Sigilo: Vidar utiliza múltiples técnicas para evadir la detección, incluyendo tácticas anti-sandbox y anti-debugging.
- Variedad de datos recopilados: Apunta a una amplia gama de información, como credenciales, billeteras de criptomonedas, historial de navegación y registros de chat.
- Uso de credenciales robadas: Vidar puede emplear las credenciales sustraídas para ataques de relleno de credenciales en otras cuentas online.

El impacto de Vidar abarca desde pérdidas económicas y robo de identidad hasta el posible compromiso de cuentas sensibles en línea.

 

Te podrá interesar:  Análisis de Malware con Wazuh

 

RedLine Stealer

 

RedLine es un tipo de malware enfocado en robar información y está diseñado para atacar sistemas Windows. Utiliza diversas estrategias para eludir la detección y filtrar datos. Su funcionamiento es parecido al de Raccoon: sube y baja archivos, ejecuta órdenes y recopila datos sobre el sistema infectado. Además, RedLine se emplea para propagar ransomware, RATs (Remote Access Trojans), troyanos y programas de minería de criptomonedas. Se puede adquirir RedLine mediante suscripción, con un costo que varía entre 100 y 200 dólares mensuales.

 


RedLine se propaga a través de adjuntos de correo electrónico dañinos, kits de explotación y descargas infectadas. Una vez activo, inyecta código malicioso en procesos legítimos de Windows, dificultando así su detección.


Características destacadas


- Técnicas de supervivencia: RedLine se vale de herramientas y scripts legítimos de Windows para ejecutar sus acciones maliciosas, lo que complica su identificación como comportamiento anómalo en el sistema.
- Hollowing de procesos: Emplea esta técnica para inyectar su código malintencionado en procesos legítimos, burlando las soluciones de seguridad convencionales.
- Exfiltración de datos: RedLine utiliza encriptación y camufla su tráfico de datos robados para que parezca tráfico de red legítimo.

El impacto de RedLine puede ir desde la exposición de información confidencial hasta accesos no autorizados y pérdidas económicas.

 

Podría interesarte leer:  Troyanos de Acceso Remoto: Software Malicioso (RAT)

 

Conclusión

 

El stealer malware representa una amenaza creciente y evolutiva en el mundo digital. Comprender sus diferentes variantes y familias es el primer paso para desarrollar estrategias efectivas de prevención y protección. Con la combinación adecuada de tecnología, educación y prácticas de seguridad, tanto individuos como organizaciones pueden fortalecer significativamente su defensa contra estos ataques malintencionados. Recordemos que en la lucha contra el ciberdelito, el conocimiento y la prevención son nuestras herramientas más poderosas.