Los expertos advirtieron que se ha observado que un nuevo malware que roba información circula por la web oscura mientras busca reunir nuevos clientes y víctimas por igual.
Los investigadores de seguridad cibernética de SEKOIA encontraron múltiples anuncios en diferentes foros clandestinos y grupos de Telegram que promocionaban un nuevo ladrón de información llamado Stealc.
Aparentemente, Stealc no se creó desde cero, sino que es una actualización de otros ladrones de información más populares, como Vidar, Racoon, Mars y Redline Stealer, que se detectaron por primera vez en enero de 2023 pero luego ganaron más fuerza el mes siguiente.
Actualizaciones semanales
Stealc fue construido, y está siendo anunciado, por un actor de amenazas que se hace llamar «Plymouth». Actualmente se encuentra en la versión 1.3.0 y parece estar recibiendo nuevos ajustes y actualizaciones al menos una vez a la semana.
Algunas de las características recientemente agregadas incluyen un generador de aleatoriedad de URL C2 y un sistema mejorado de búsqueda y clasificación de registros. También se vio a Stealc salvando a personas de Ucrania.
Después de analizar más a fondo una muestra del ladrón de información, SEKOIA descubrió que usa archivos DLL legítimos de terceros, que está escrito en C y abusa de las funciones de la API de Windows, que es liviano (solo 80 KB), que ofusca la mayoría de sus cadenas con RC4 y base64, y que exfiltra los archivos robados automáticamente (no requiere ninguna acción por parte del actor de amenazas).
SEKOIA también descubrió que Stealc puede robar datos de 22 navegadores web, 75 complementos y 25 billeteras de escritorio.
Además de anunciarlo en la web oscura, Plymouth también estaba ocupado implementándolo en los puntos finales de destino. (se abre en una pestaña nueva). Una de las formas en que lo hacen es creando tutoriales falsos de YouTube sobre cómo descifrar software y proporcionando un enlace en la descripción que, en lugar del crack anunciado, implementa el ladrón de información.
Hasta ahora, se descubrieron más de 40 servidores C2, lo que llevó a los investigadores a concluir que Stealc se está volviendo bastante popular. La popularidad, especulan, proviene del hecho de que los delincuentes que pueden acceder al panel de administración pueden generar fácilmente nuevas muestras de ladrones, lo que aumenta su alcance.
SEKOIA cree que Stealc puede volverse bastante popular, ya que también puede ser adoptado por piratas informáticos de bajo nivel.
Vía: BleepingComputer (se abre en una pestaña nueva)