Resumen de una conferencia impartida por Livia Tibirna, Quentin Bourgue y Pierre Le Bourhis
Los infostealers son programas maliciosos diseñados para recopilar datos confidenciales, en particular datos de autenticación, con el fin de enviárselos al atacante.
La amenaza de los «infostealers» se cobra cada vez más víctimas, ya sean particulares o empresas. Aunque no es algo nuevo, su uso es cada vez más frecuente; el aumento de estos ataques se debe, en particular, a la democratización de esta técnica en el ecosistema cibercriminal de habla rusa, así como a la profesionalización de las actividades relacionadas.
Los grupos de atacantes estructuran sus distintas actividades, se organizan en equipos y luego ponen en común la información recopilada para gestionar mejor la venta de esos datos.
Llegan incluso a ofrecer «malware como servicio» (MaaS). Estas soluciones llave en mano permiten a cualquier persona con malas intenciones, sin necesidad de tener conocimientos específicos, llevar a cabo ataques.
Los grupos de atacantes recurren a los «traffers», personas con conocimientos técnicos, ¡auténticos protagonistas de la amenaza!
Su función consiste en gestionar las amenazas redirigiendo a los usuarios hacia contenidos maliciosos. Su objetivo es, por tanto, propagar masivamente los infostealers entre las víctimas. Utilizan los recursos que les proporciona el grupo de atacantes, a cambio de una parte de los ingresos.
Este modus operandi permite que los grupos responsables de estos ataques no sean perseguidos en la mayoría de los países, ya que no los llevan a cabo directamente.
Los métodos de ataque más utilizados son:
- Correo basura malicioso/phishing: el envío de correos electrónicos con contenido malicioso, como un archivo adjunto infectado, un enlace a un sitio web fraudulento, etc.
- Software pirateado: es una fuente de infección muy apreciada por los piratas informáticos. Se puede utilizar a través de plataformas de torrents o de vídeos de YouTube que incluyen un crack con un enlace en los comentarios. Estos ataques también se conocen como «cadena de infección 911».
- Malvertising/Optimización para motores de búsqueda: se trata de un método de infección a través de las búsquedas en Internet. El malvertising consiste en un dominio malicioso que aparece destacado en los resultados de un motor de búsqueda (por ejemplo, Google). La optimización para motores debúsqueda (SEO) consiste en crear dominios maliciosos que ofrecen, por ejemplo, cracks para juegos o programas, lo que permite difundir la carga maliciosa.
Por lo tanto, las ventas son una parte importante de este negocio. Se pueden desglosar de la siguiente manera:
- Venta de trucos y herramientas para los estafadores:desde plantillas para sitios web falsos (hacienda, multas, bancos, etc.) hasta listas de correo electrónico para el phishing o números de teléfono.
- Venta de datos/registros: ya sean cualificados o no, analizados o no, pueden venderse por unidades o al por mayor. Los registros cualificados y analizados se venden a un precio más elevado que los registros comunes sin analizar.
Para combatir esto, existen métodos de investigación:
- El seguimiento en los distintos canales de difusión, como foros, Telegram y, más recientemente, Discord, permite vigilar la puesta a la venta de nuevos programas maliciosos. Los vendedores, que por lo general deben demostrar su seriedad, muestran pruebas del funcionamiento y/o de los datos o registros robados.
- El seguimiento:supervisar las infraestructuras de distribución, evaluar el impacto y rastrear las cadenas de servidores (comando y control), crear y supervisar las detecciones de firmas YARA.
- Los análisis en entorno aislado:permiten desmontar el malware, analizar su funcionamiento y su código, y rastrear las cadenas de comando y control.
- El seguimiento de las cargas útiles distribuidas por Internet —ya sea a través de los motores de búsqueda o por otros medios— puede permitir analizar los métodos de distribución y rastrear las cadenas de comando y control.
Para reforzar la protección de las empresas, es imprescindible comprender el funcionamiento del malware, realizar un seguimiento de la amenaza a lo largo del tiempo, así como de su propagación y evolución. El mercado del malware, y en particular el de los infostealers, evoluciona muy rápidamente. Hoy en día se puede decir que está alcanzando su madurez, en el sentido de que los grupos de piratas informáticos están ahora muy organizados y son muy reactivos.
Se mantienen en una zona gris de la legalidad, ya que no llevan a cabo ataques por sí mismos —o lo hacen en muy pocas ocasiones—, sino que recurren a los traficantes. Por lo tanto, este mercado es muy lucrativo, por lo que las empresas deben adaptarse constantemente y no descuidar la seguridad de sus infraestructuras, así como la formación y la sensibilización de los empleados.
En 2022, la ANSSI publicó un documento de síntesis sobre las amenazas relacionadas con el robo de cookies.
Guillaume GAUTHIER
Ingeniero de seguridad de redes, Squad
