Ladrón de bandidos
Los investigadores de ciberseguridad han descubierto recientemente un malware de recolección de información avanzado llamado Bandit Stealer. Este malware sigiloso ha llamado la atención debido a su capacidad para atacar una variedad de navegadores web y billeteras de criptomonedas.
Según un informe publicado por investigadores de seguridad, este software amenazante, desarrollado con el lenguaje de programación Go, tiene el potencial de extender su alcance a otras plataformas, lo que garantiza la posible compatibilidad entre plataformas.
Actualmente, Bandit Stealer se centra principalmente en los sistemas Windows. Se aprovecha de una herramienta de línea de comandos legítima conocida como runas.exe, que permite a los usuarios ejecutar programas con diferentes permisos en la cuenta de otro usuario. Al utilizar esta herramienta, el malware tiene como objetivo elevar sus privilegios y obtener acceso administrativo. En consecuencia, elude hábilmente las medidas de seguridad, lo que le permite recopilar grandes cantidades de datos sin ser detectado.
El ladrón de bandidos establece la persistencia y extrae datos confidenciales
Para ejecutar la dañina herramienta, los ciberdelincuentes deben pasar las medidas de control de acceso de usuarios de Microsoft. Esto significa que los atacantes deben proporcionar las credenciales necesarias cuando intenten ejecutar el binario de malware como administrador. Según los investigadores, es por eso que los atacantes usan el comando runas.exe, ya que permite a los usuarios ejecutar programas con privilegios elevados, proporcionando un entorno seguro para aplicaciones críticas o tareas a nivel de sistema. Esta utilidad es particularmente beneficiosa cuando la cuenta de usuario actual carece de privilegios suficientes para ejecutar comandos o programas específicos.
Además, Bandit Stealer incorpora varias comprobaciones para establecer si se está ejecutando en un entorno sandbox o virtual. La amenaza también finaliza una lista de procesos en la lista negra para enmascarar su presencia en el sistema comprometido y evitar atraer atención innecesaria.
Antes de iniciar sus actividades de recopilación de datos, que implican recopilar información personal y financiera de navegadores web y billeteras de criptomonedas, Bandit Stealer establece persistencia a través de modificaciones en el Registro de Windows.
En cuanto al método de distribución de Bandit Stealer, se cree que el malware se propaga a través de correos electrónicos de phishing que contienen un archivo cuentagotas corrupto. Este archivo abre un archivo adjunto aparentemente inofensivo de Microsoft Word, que actúa como una distracción mientras activa silenciosamente la infección en segundo plano.
El mercado de ladrones de información y datos recopilados sigue creciendo
La acumulación de datos por parte de los ladrones brinda a los operadores malintencionados varias ventajas, lo que les permite aprovechar oportunidades como el robo de identidad, las ganancias financieras, las filtraciones de datos, los ataques de relleno de credenciales y la apropiación de cuentas. Además, la información recopilada se puede vender a otros delincuentes, lo que sirve como base para ataques posteriores que pueden variar desde campañas dirigidas hasta ransomware o intentos de extorsión.
Estos desarrollos subrayan la evolución continua del malware ladrón hacia una amenaza más grave. Simultáneamente, el mercado de Malware-as-a-Service (MaaS) ha hecho que estas herramientas sean fácilmente accesibles y ha reducido las barreras de entrada para los aspirantes a ciberdelincuentes.
De hecho, los expertos en ciberseguridad han observado un próspero mercado de ladrones de información, con un volumen de registros robados en foros clandestinos, como el mercado ruso, que muestra un aumento asombroso de más del 600 % entre 2021 y 2023.
