¿Qué son los ladrones de información?
Los infostealers son una clase de software malicioso diseñado para recopilar y filtrar datos de sistemas o redes sin el consentimiento del usuario. Estos programas sigilosos, a menudo impulsados por motivos financieros o delictivos, tienen como objetivo exfiltrar información confidencial, lo que plantea riesgos importantes tanto para individuos como para organizaciones.
El primer ladrón de información moderno observado se remonta a principios de 2007 y se conocía como ZeuS o Zbot . El principal objetivo del malware era robar credenciales bancarias online y rápidamente se convirtió en uno de los troyanos bancarios más extendidos y sofisticados jamás vistos. En 2011, el código fuente se hizo público, lo que provocó la proliferación de numerosas variantes nuevas.
A lo largo de los años, los avances tecnológicos y la economía sumergida han facilitado el desarrollo y la proliferación de nuevas variantes de ladrones de información, y los ciberdelincuentes mejoran continuamente sus tácticas para evadir la detección y maximizar sus ganancias. Hoy en día, los ladrones de información siguen siendo una amenaza potente y frecuente, que plantea graves riesgos para personas, empresas y organizaciones de todo el mundo.
Cada vez más, los ladrones de información se utilizan como punto de entrada en ciberataques sofisticados, lo que subraya su papel como vector de amenaza fundamental en el cibercrimen moderno.
¿Cómo funcionan los infostealers?
La función principal de un ladrón de información es recopilar clandestinamente información confidencial de las víctimas mediante diversas técnicas, como enumerar archivos y directorios, registrar pulsaciones de teclas, extraer datos del navegador, acceder a archivos, copiar cookies y tomar capturas de pantalla. Luego, los datos robados se transmiten a un servidor de comando y control controlado por el atacante.
Como es común con el malware moderno, los ladrones de información han pasado a un modelo de malware como servicio (MaaS). Esto facilita que los atacantes con experiencia mínima en atacar empresas utilicen dichos servicios para infiltrarse en los sistemas y extraer información, a menudo en formato de registros. Posteriormente, estos registros se venden en foros clandestinos y mercados criminales en la web oscura.
Datos a los que se dirigen con mayor frecuencia los ladrones de información :
- Información de configuración del sistema
- Credenciales de cuenta
- Datos del navegador como cookies y datos de extensión.
- Tarjetas de crédito
- Carteras criptográficas
- Información de autocompletar
Los ladrones de información se distribuyen a través de varios canales, incluidos el phishing, el phishing extendido y la publicidad maliciosa. Además, los métodos de distribución poco comunes incluyen envenenamiento de SEO, software falso y publicaciones públicas en redes sociales.
Canales de distribución comunes
Phishing : este es un método común para distribuir varias familias de malware; generalmente los ciberdelincuentes envían documentos como archivos PDF, HTML o de MS Office que contienen cargas útiles maliciosas o enlaces URL camuflados para descargar los artefactos. Para intentar evadir la detección, los archivos suelen cifrarse con contraseñas, lo que dificulta a los proveedores de correo electrónico escanear en busca de contenido malicioso.
Instrumentación de software legítimo : este es un vector de infección clásico, los usuarios pueden infectarse fácilmente al instalar software ilegítimo. Las versiones modificadas suelen albergar código malicioso incrustado, lo que las convierte en un riesgo importante para los usuarios inexpertos.
Malversiting : esta tendencia comenzó en 2017 y actualmente está en aumento: los actores maliciosos distribuyen cargas útiles maliciosas a través de algunas páginas de alto rango, a menudo haciéndose pasar por actualizaciones de software popular, como Google Chrome.
La infraestructura detrás de una botnet de robo de información
La siguiente es la topología de Redline Stealer, un típico ladrón de información moderno. Dirigido por Jiho Kim.
Análisis de información robada
La información recopilada por los ladrones de información se centra en objetivos específicos. Por un lado, su objetivo es adquirir datos sensibles como credenciales de portales bancarios, billeteras de criptomonedas, detalles de cuentas de correo electrónico, credenciales de redes sociales o cualquier información que pueda ser explotada para un uso indebido en el futuro. Por otro lado, los Infostealers también recopilan detalles técnicos sobre el sistema comprometido, incluidas cookies de sesión, UserAgents, especificaciones de la máquina y archivos de registro. Estos conocimientos técnicos permiten a los atacantes simular el entorno de las cuentas objetivo, evadiendo medidas de seguridad e intentando acceso no autorizado sin restricciones ambientales.
A continuación se muestra un ejemplo de información robada por un ladrón de información MaaS real.
La mayoría de los ladrones de información poseen la capacidad de identificar múltiples portales de inicio de sesión y extraer credenciales. Posteriormente, formatean esta información en registros estructurados, empleando diversas técnicas para transmitirlos a la infraestructura adversaria (Exfiltración). Esto permite a los atacantes acceder y explotar fácilmente la información confidencial recopilada de los sistemas comprometidos.