top of page

Infosteales: Qué son, Cómo se propagan y Cómo detenerlos


Piensa en toda la información almacenada en tu computadora. Tus contraseñas. Los datos de su tarjeta de crédito. El historial de su navegador.


Ahora, imagina a alguien (o algo) rastreando toda esa información y extrayendo los datos más valiosos.


Eso es un ladrón de información. Un ladrón de información es un tipo de software malicioso que intenta robar su información confidencial, que los ataques de amenazas pueden vender en el mercado negro o utilizar para lanzar ataques cibernéticos adicionales.


En esta publicación de blog, reunimos todo lo que necesita saber sobre los ladrones de información, incluidos qué son, cómo se propagan y cómo detenerlos.


¿Qué es un ladrón de información?

Como su nombre lo indica, un ladrón de información es un tipo de malware diseñado para recopilar datos confidenciales de un sistema comprometido. Los datos robados se envían a un servidor controlado por el atacante y, a menudo, se venden en el mercado negro a otros actores de amenazas, quienes pueden usar la información para cometer fraude u obtener acceso no autorizado a varios recursos y activos.


Los ladrones de información pueden extraer una amplia gama de datos de una máquina infectada, incluidos:


  • Credenciales utilizadas para banca en línea, cuentas de correo electrónico, sitios de redes sociales y servicios FTP.

  • Detalles de la tarjeta de crédito.

  • correos electrónicos

  • Información de hardware.

  • Información del sistema operativo.

  • Carteras de criptomonedas.

  • Capturas de pantalla.

Tipos de archivos específicos (comúnmente imágenes, documentos, hojas de cálculo, etc.).

Los ladrones de información suelen operar como malware como servicio (MaaS), un modelo de negocio en el que los desarrolladores de software malicioso alquilan su malware a otros a cambio de una tarifa. Este arreglo permite que casi cualquier persona implemente un ladrón de información, independientemente de su aptitud técnica.


Los ladrones de información pueden variar en funcionalidad y usar diferentes métodos para extraer datos. Algunos se enfocan exclusivamente en la recolección de datos, mientras que otros brindan una funcionalidad remota que permite a los actores de amenazas colocar y ejecutar malware adicional en el sistema comprometido.


¿Por qué los actores de amenazas usan ladrones de información?

Los ataques de ladrones de información suelen tener una motivación financiera. Los datos robados se analizan y cualquier información valiosa se recopila y organiza en una base de datos, que luego se puede vender en la web oscura o a través de canales privados de Telegram. Los compradores pueden usar la información para cometer varios tipos de fraude, como solicitar préstamos bancarios o tarjetas de crédito, comprar artículos en línea o hacer reclamos fraudulentos de seguros de salud. Los compradores también pueden usar credenciales de inicio de sesión comprometidas para obtener acceso a cuentas corporativas y servicios remotos. Una vez que se ha obtenido el acceso, los actores de amenazas pueden usar fácilmente los privilegios de la cuenta pirateada como punto de partida para iniciar más actividades maliciosas.


Los ladrones de información también se implementan comúnmente en campañas de ransomware. Se ha vuelto cada vez más común que los operadores de ransomware pasen una cantidad significativa de tiempo en el entorno de destino antes de implementar la carga útil final del ransomware. Durante este tiempo, pueden usar una variedad de técnicas para obtener un punto de apoyo más firme, lo que a menudo incluye el despliegue de ladrones de información. La recopilación de credenciales puede permitir a los actores de amenazas moverse lateralmente y escalar los permisos, mientras que el robo de datos específicos de la máquina (direcciones IP, país, ISP, sistema operativo, información del navegador, etc.) puede ayudarlos a adaptar el ataque al entorno para infligir el máximo daño.


¿Cómo te infectas con un ladrón de información?

Los actores de amenazas pueden usar una variedad de vectores de ataque para distribuir ladrones de información. Algunos de los métodos de infección más comunes incluyen:


  • Spam: los actores de amenazas comúnmente entregan ladrones de información por correo electrónico, a menudo bajo la apariencia de una organización legítima. El ladrón de información se puede adjuntar directamente al correo electrónico, o se puede alentar al destinatario a hacer clic en una URL maliciosa que dirige al usuario a la descarga del malware. Los correos electrónicos no deseados generalmente se distribuyen en masa, aunque en algunos casos se pueden adaptar a un grupo o individuo específico.

  • Sistema comprometido: como se señaló anteriormente, los ladrones de información a menudo se implementan de forma remota después de que los actores de amenazas hayan obtenido acceso al sistema de destino. Consulte este blog para obtener más información sobre cómo los atacantes evaden las soluciones de seguridad.

  • Publicidad maliciosa: los sitios web comprometidos por los kits de explotación se utilizan comúnmente para publicar anuncios maliciosos. Hacer clic en el anuncio puede ejecutar un código malicioso que instala un ladrón de información, o puede redirigir al usuario a un sitio web malicioso donde se puede descargar el malware. En algunos casos, simplemente ver la publicidad maliciosa puede ser suficiente para activar la descarga de un ladrón de información.

  • Software pirateado: no es raro que los grupos de piratería incluyan malware con descargas de software pirateado. Casi todos los tipos de malware se han distribuido a través de software pirateado en algún momento, incluidos los ladrones de información.


Cómo proteger su sistema de los ladrones de información

Las siguientes prácticas pueden ayudar a reducir el riesgo de infectarse con un ladrón de información.


  • Piense dos veces antes de hacer clic: la mayoría de los ladrones de información se propagan a través de acciones iniciadas por el usuario, como abrir un archivo adjunto de correo electrónico malicioso o descargar un archivo en un sitio web malicioso. Como tal, una de las formas más efectivas de evitar los ladrones de información es pensar dos veces antes de hacer clic. No abra archivos adjuntos de correo electrónico no solicitados, tenga cuidado con los correos electrónicos que no se dirijan a usted por su nombre y coloque el cursor sobre las URL para asegurarse de que la dirección de destino coincida con el texto del enlace.

  • Instalar actualizaciones: algunos ladrones de información se distribuyen mediante la explotación de vulnerabilidades conocidas del navegador. Este vector de ataque se puede mitigar aplicando actualizaciones para su navegador, sistema operativo y otras aplicaciones tan pronto como estén disponibles.

  • Asegure su navegador: reduzca el riesgo de infectarse con un ladrón de información y otros tipos de malware al proteger su navegador. Emsisoft Browser Security, por ejemplo, es una extensión de navegador liviana que bloquea el acceso a sitios web que distribuyen malware y evita ataques de phishing.

  • Utilice la autenticación multifactor: MFA proporciona una capa adicional de seguridad que puede ayudar a evitar el acceso no autorizado a cuentas, herramientas, sistemas y repositorios de datos. Incluso si un actor de amenazas logra robar sus credenciales de inicio de sesión, es posible que no pueda proporcionar la autenticación secundaria requerida para acceder a la cuenta comprometida.

  • Evite el software pirateado: no es raro que el software pirateado venga cargado con varias formas de malware. Por lo tanto, adhiérase a las aplicaciones legítimas. En estos días, hay tantas alternativas gratuitas, freemium y de código abierto que no hay necesidad de tirar los dados con el software pirateado.


Hay muchas familias diferentes de ladrones de información. A continuación se presentan algunos de los más populares.


Ladrón de línea roja

RedLine es uno de los ladrones de información más populares del mundo. Observado por primera vez en 2020, RedLine apunta al sistema operativo Windows y generalmente se distribuye en foros clandestinos de malware rusos, donde se puede comprar como una aplicación independiente o por suscripción.


RedLine intenta filtrar una amplia gama de datos de la máquina de la víctima, incluidos datos de navegadores web, clientes FTP, servicios de mensajería instantánea, billeteras de criptomonedas, servicios VPN y clientes de juegos. Una vez que RedLine ha establecido una conexión con su servidor de comando y control, se puede usar para realizar funciones adicionales de forma remota, incluida la descarga de archivos, la ejecución de archivos ejecutables portátiles, la ejecución de solicitudes a través de CMD.exe y más.


Ladrón de mapaches

Racoon Stealer, observado por primera vez en 2019, es un ladrón de información que extrae datos relacionados con monederos criptográficos, cookies del navegador, contraseñas, información de autocompletado del navegador y tarjetas de crédito. Opera como un MaaS y se distribuye principalmente a través de campañas de phishing y kits de explotación. La operación Racoon Stealer se cerró en marzo de 2022, posiblemente debido a que uno de los principales desarrolladores murió en el conflicto entre Rusia y Ucrania. Sin embargo, a principios de julio de 2022, se lanzó una nueva variante del malware, esta vez escrita en C (a diferencia de las versiones anteriores, que estaban escritas en C++).


Curiosamente, la nueva versión de Raccoon Stealer envía datos cada vez que roba un elemento nuevo. Esto va en contra de las prácticas convencionales de exfiltración de datos: por lo general, los actores de amenazas recopilan datos a granel y los transfieren todos a la vez para reducir el riesgo de detección. Esto, junto con el hecho de que Raccoon Stealer 2.0 no utiliza técnicas de ofuscación o antianálisis, sugiere que los desarrolladores están más preocupados por la velocidad que por la sutileza.


Ladrón de Vidar

Vidar es un tipo popular de ladrón de información que es capaz de robar una variedad de datos confidenciales, incluida la información bancaria, las credenciales de inicio de sesión, las direcciones IP, el historial del navegador y las billeteras criptográficas. Una bifurcación de la familia de malware Arkei, Vidar se identificó por primera vez en 2018 y sigue siendo un ladrón de información popular gracias a su facilidad de uso, desarrollo continuo y canales de soporte activo. Vidar es personalizable, lo que permite a los actores de amenazas especificar el tipo de datos que desean robar.


Conclusión

Los ladrones de información son capaces de recolectar una amplia gama de información confidencial, que los actores de amenazas pueden vender o usar para ejecutar ataques adicionales. Por lo general, se distribuyen a través de spam, publicidad maliciosa, cuentas comprometidas y software pirateado. Ser cuidadoso con sus clics, mantener su navegador actualizado y habilitar MFA puede ayudar a reducir el riesgo de infección y limitar el impacto de un ataque.

29 visualizaciones

Comments


Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page