Ladrón de información

Software malicioso utilizado para robar información

En informática , los ladrones de información son una forma de software malicioso creado para vulnerar los sistemas informáticos y robar información confidencial, incluidos datos de inicio de sesión , información financiera y otra información de identificación personal . La información robada se empaqueta, se envía al atacante y, a menudo, se comercializa en mercados ilícitos con otros ciberdelincuentes .

Los bots de robo de información suelen estar formados por dos partes: el marco del bot que permite al atacante configurar el comportamiento del bot en el equipo de la víctima y un panel de gestión que adopta la forma de un servidor al que el bot envía datos. Los bots de robo de información se infiltran en los dispositivos a través de ataques de phishing , sitios web infectados y descargas de software malicioso, incluidos mods de videojuegos y software pirateado , entre otros métodos. Una vez descargados, los bots de robo de información recopilan información confidencial sobre el dispositivo del usuario y envían los datos de vuelta al servidor.

Los robadores de información suelen distribuirse bajo el modelo de malware como servicio (MaaS), en el que los desarrolladores permiten que otras partes utilicen sus robadores de información a cambio de una tarifa de suscripción. Esto permite que personas con distintos niveles de conocimientos técnicos puedan implementar un robador de información. La funcionalidad de los robadores de información puede variar: algunos se centran en la recolección de datos , mientras que otros ofrecen acceso remoto que permite ejecutar malware adicional. Los datos robados pueden utilizarse luego en campañas de phishing para otros ciberataques, como la implementación de ransomware .

La proliferación de proveedores de servicios de robo de información ha contribuido a un aumento en el número de incidentes de ciberseguridad que involucran a este tipo de ladrones. El número de registros de datos robados que se venden en el Mercado Ruso, un foro de ciberdelincuencia , ha aumentado significativamente desde 2022. Según una investigación de Kaspersky a mediados de 2023, el 24% del malware ofrecido como servicio son ladrones de información.

Descripción general

En el ámbito de los delitos cibernéticos , el robo de credenciales es un mecanismo bien conocido a través del cual individuos malintencionados roban información personal , como nombres de usuario , contraseñas o cookies, para obtener acceso ilegítimo a las cuentas en línea y al ordenador de una víctima. Este delito suele desarrollarse en cuatro etapas, siendo la primera la adquisición de las credenciales robadas. Los robadores de información son un tipo específico de malware , que están diseñados para esta etapa inicial. Suelen constar de dos partes distintas: el marco del bot y un servidor de comando y control , a menudo conocido como panel de gestión o interfaz. ^[1]

El marco del bot incluye un constructor que permite al atacante configurar cómo se comportará el infostealer en la computadora de un usuario y qué tipo de información robará. La interfaz de administración, generalmente escrita en lenguajes de desarrollo web tradicionales como PHP , HTML y JavaScript ^[2], generalmente se aloja en la infraestructura de nube comercial . ^[3] La interfaz de administración funciona principalmente como un servidor web al que el infostealer envía información confidencial. La interfaz también proporciona al atacante información sobre el estado de los infostealers implementados y le permite controlar el comportamiento de los infostealers. ^[2]

Distribución y uso

Los ladrones de información suelen distribuirse a través del modelo de malware como servicio (MaaS), que permite a personas con distintos conocimientos técnicos implementar estos programas maliciosos. En virtud de este modelo, suelen surgir tres grupos distintos: desarrolladores, proveedores de servicios de malware y operadores. Los desarrolladores, los más capacitados técnicamente, escriben el código del ladrón de información. Los proveedores de servicios de malware compran licencias para el malware y lo ofrecen como servicio a otros ciberdelincuentes. Los operadores, que pueden ser desarrolladores o proveedores de servicios según su nivel de habilidad, utilizan estos servicios para realizar el robo de credenciales . ^[1]

Una vez que se compra el malware, se propaga a las máquinas de las víctimas mediante diversas técnicas de ingeniería social . El phishing , incluidas las campañas de phishing dirigido que se dirigen a víctimas específicas, se emplean comúnmente. Los robadores de información suelen estar integrados en archivos adjuntos de correo electrónico o enlaces maliciosos que enlazan a sitios web que realizan descargas automáticas. ^{[2] [4]} Además, a menudo se incluyen con extensiones de navegador comprometidas o maliciosas, mods de juegos infectados y software pirateado o comprometido de otro modo. ^[4] Una vez que una víctima descarga y ejecuta el ladrón, se comunica con los servidores de comando y control del atacante , lo que le permite robar información de la computadora del usuario. Si bien la mayoría de los robadores de información se dirigen principalmente a las credenciales, algunos también permiten a los atacantes introducir y ejecutar de forma remota otro malware, como ransomware , en la computadora de la víctima. ^{[1] [5]}

Las credenciales obtenidas de los ataques de los ladrones de información a menudo se distribuyen como registros o volcados de credenciales, generalmente compartidos en sitios de pegado como Pastebin , donde los ciberdelincuentes pueden ofrecer muestras gratuitas, o se venden a granel en foros de piratería clandestinos, a menudo por montos tan bajos como $ 10. ^{[6] [7]} Los compradores de estas credenciales robadas generalmente inician sesión para evaluar su valor, en particular buscando credenciales asociadas con servicios financieros o vinculadas a otras credenciales con patrones similares, ya que son especialmente valiosas. ^[8] Las credenciales de alto valor a menudo se venden a otros ciberdelincuentes a precios más altos, ^[9] quienes luego pueden usarlas para varios delitos, incluido el fraude financiero , ^[10] integrando las credenciales en redes zombis y operaciones de mejora de la reputación ^[10] o como trampolines para ataques más sofisticados como estafar a empresas, distribuir ransomware o realizar espionaje patrocinado por el estado. ^{[11] [6]} Además, algunos cibercriminales utilizan credenciales robadas para realizar ataques de ingeniería social , haciéndose pasar por el propietario original para afirmar que han sido víctimas de un delito y solicitando dinero a los contactos de la víctima. ^{[12] [13]} Muchos compradores de estas credenciales robadas toman precauciones para mantener el acceso durante períodos más largos, como cambiar las contraseñas, usar redes Tor para ocultar sus ubicaciones, lo que ayuda a evitar la detección por parte de servicios que de otro modo podrían identificar y cerrar las credenciales robadas. ^{[12] [13]}

Características

La función principal de un infostealer es exfiltrar información confidencial sobre la víctima a los servidores de comando y control de un atacante . El tipo exacto de datos que se exfiltran dependerá de las funciones de robo de datos habilitadas por el operador y la variante específica del infostealer que se utilice. ^[14] Sin embargo, la mayoría de los infostealers contienen funcionalidad para recolectar una variedad de información sobre el sistema operativo del host, la configuración del sistema y los perfiles de usuario. Algunos infostealers más avanzados incluyen la capacidad de introducir malware secundario como troyanos de acceso remoto y ransomware . ^[2]

En 2009, los investigadores del equipo de respuesta rápida de Symantec publicaron un análisis técnico del programa Zeus , uno de los primeros programas que se crearon. ^[15] Descubrieron que el malware extraía automáticamente todos los datos almacenados en el servicio de almacenamiento protegido de un ordenador (que normalmente utilizaba Internet Explorer para almacenar contraseñas) e intentaba capturar todas las contraseñas enviadas al ordenador mediante el protocolo POP3 y FTP . Además de esto, el malware permitía a los investigadores definir un conjunto de archivos de configuración para especificar una lista de inyecciones web que se realizarían en el ordenador de un usuario, así como otro archivo de configuración que controlaba qué URL web supervisaría el malware. Otra configuración también permitía a los investigadores definir un conjunto de reglas que se podían utilizar para comprobar si las solicitudes HTTP adicionales contenían contraseñas u otra información confidencial. ^[16]

Más recientemente, en 2020, investigadores de la Universidad Tecnológica de Eindhoven realizaron un estudio en el que analizaron la información disponible para la venta en el mercado negro de credenciales impaas.ru. Como parte de su estudio, pudieron replicar el funcionamiento de una versión del ladrón de información AZORult . Entre las funciones descubiertas por los investigadores se encontraba un constructor que permitía a los operadores definir qué tipo de datos serían robados. Los investigadores también encontraron evidencia de complementos que robaban el historial de navegación de un usuario , un mecanismo personalizable basado en expresiones regulares que permite al atacante recuperar archivos arbitrarios de la computadora de un usuario, un módulo de extracción de contraseñas del navegador, un módulo para extraer el historial de Skype y un módulo para encontrar y exfiltrar archivos de billeteras de criptomonedas . ^[14]

Los investigadores también descubrieron que los datos robados con más frecuencia mediante los ladrones de información AZORult y vendidos en el mercado negro se podían clasificar en tres tipos principales: huellas dactilares, cookies y recursos. Las huellas dactilares consistían en identificadores que se construían al sondear una variedad de características que el navegador pone a disposición. No estaban vinculadas a un servicio específico, pero se consideraban un identificador único y preciso para los navegadores de un usuario. Las cookies permitían a los compradores secuestrar la sesión del navegador de una víctima inyectándola en un entorno de navegador. Los recursos se refieren a archivos relacionados con el navegador que se encuentran en el sistema operativo de un usuario, como archivos de almacenamiento de contraseñas. ^[17]

Economía e impacto

La creación de una operación de robo de información se ha vuelto cada vez más accesible debido a la proliferación de empresas de robo como servicio, lo que reduce significativamente las barreras financieras y técnicas. Esto hace que sea posible que incluso los ciberdelincuentes menos sofisticados participen en tales actividades. ^[2] En un artículo de 2023, los investigadores del Instituto de Tecnología de Georgia señalaron que el mercado de robo de información alojado es extremadamente maduro y altamente competitivo, y algunos operadores ofrecen instalar robo de información por tan solo $ 12. ^[18] Para los proveedores de servicios que ejecutan estas operaciones de robo, los investigadores estimaron que un operador típico de robo de información solo incurre en unos pocos costos únicos: la licencia para usar el robo de información que se obtiene de un desarrollador de malware y la tarifa de registro para el dominio utilizado para alojar el servidor de comando y control . El principal costo continuo en el que incurren estos operadores es el costo asociado con el alojamiento de los servidores. Con base en estos cálculos, los investigadores concluyeron que el modelo de negocio de robo como servicio es extremadamente rentable, y muchos operadores logran márgenes de ganancia de más del 90% con ingresos de miles de dólares. ^[19]

Debido a su extrema rentabilidad y accesibilidad, el número de incidentes de ciberseguridad que involucran a infostealers ha aumentado. ^[6] El cambio pospandémico de COVID-19 hacia el trabajo remoto e híbrido , donde las empresas dan a los empleados acceso a los servicios empresariales en sus máquinas domésticas, también se ha citado como una de las razones detrás del aumento de la efectividad de los infostealers. ^{[20] [6]} En 2023, una investigación de Secureworks descubrió que la cantidad de registros de infostealers (datos exfiltrados de cada computadora) que se vendían en el mercado ruso, el mercado clandestino más grande, aumentó de 2 millones a 5 millones de registros desde junio de 2022 hasta febrero de 2023. ^[20] Según la investigación de Kaspersky a mediados de 2023, el 24% del malware ofrecido como servicio son infostealers. ^[21]

Referencias

Citas

1. Avgetidis y otros, 2023, págs. 5308
2. abcdeAvgetidis et al. 2023, págs. 5308–5309
3. Avgetidis y col. 2023, págs. 5314, 5319
4. Nurmi, Niemelä y Brumley 2023, p. 1
5. Ryan 2021, pág. 76
6. Newman 2024
7. Nurmi, Niemelä y Brumley 2023, pag. 2
8. Nurmi, Niemelä y Brumley 2023, pag. 6
9. Nurmi, Niemelä y Brumley 2023, pag. 7
10. Nurmi, Niemelä y Brumley 2023, p. 8
11. Muncaster 2023
12. Onaolapo, Mariconti y Stringhini 2016, págs. 65, 70, 76
13. Bursztein et al. 2014, pág. 353
14. Campobasso y Allodi 2020, págs.1669
15. Grammatikakis y col. 2021, págs.121
16. Nicolas y Chien 2009, págs. 3–4
17. Campobasso y Allodi 2020, págs. 1669-1670
18. Avgetidis y col. 2023, pág. 5309
19. Avgetidis y col. 2023, pág. 5318
20. Hendery 2023
21. Lyon 2024

Fuentes

• Hendery, Simon (17 de mayo de 2023). "Los robos de registros de datos aumentan a medida que los ladrones de información ganan popularidad entre los cibercriminales". Revista SC . Archivado desde el original el 17 de octubre de 2023. Consultado el 18 de julio de 2024 .
• Lyons, Jessica (29 de febrero de 2024). "Las bandas de ransomware están prestando atención a los ladrones de información, ¿por qué tú no?". The Register . Archivado desde el original el 11 de septiembre de 2024. Consultado el 17 de agosto de 2024 .
• Newman, Lily Hay (29 de julio de 2024). «Cómo los ladrones de información saquearon las contraseñas del mundo». Wired . ISSN  1059-1028. Archivado desde el original el 13 de agosto de 2024. Consultado el 13 de agosto de 2024 .
• Muncaster, Phil (9 de febrero de 2023). "Nuevo ladrón de información descubierto mientras Rusia se prepara para una nueva ofensiva". Revista Infosecurity . Archivado desde el original el 11 de septiembre de 2024. Consultado el 13 de agosto de 2024 .
• Avgetidis, Athanasios; Alrawi, Omar; Valakuzhy, Kevin; Lever, Charles; Burbage, Paul; Keromytis, Angelos D.; Monrose, Fabian; Antonakakis, Manos (2023). "Más allá de las puertas: un análisis empírico de los ladrones y operadores de contraseñas {administradas por HTTP}". USENIX Security : 5307–5324. ISBN 978-1-939133-37-3.
• Nicolas, Falliere; Chien, Eric (2009). "Zeus: King of the Bots" (PDF) . Symantec . Archivado desde el original (PDF) el 10 de enero de 2017.
• Campobasso, Michele; Allodi, Luca (30 de octubre de 2020). "Suplantación como servicio: caracterización de la infraestructura criminal emergente para la suplantación de identidad de usuarios a gran escala". Actas de la Conferencia ACM SIGSAC de 2020 sobre seguridad informática y de las comunicaciones . ACM. págs. 1665–1680. arXiv : 2009.04344 . doi :10.1145/3372297.3417892. ISBN . 978-1-4503-7089-9.
• Nurmi, Juha; Niemelä, Mikko; Brumley, Billy Bob (29 de agosto de 2023). "Finanzas y operaciones de malware: un estudio basado en datos de la cadena de valor de las infecciones y el acceso comprometido". Actas de la 18.ª Conferencia internacional sobre disponibilidad, fiabilidad y seguridad . ACM. págs. 1–12. arXiv : 2306.15726 . doi :10.1145/3600160.3605047. ISBN. 979-8-4007-0772-8.
• Ryan, Matthew (2021), Ryan, Matthew (ed.), "Estudios de casos de ransomware", Ransomware Revolution: The Rise of a Prodigious Cyber ​​Threat , Advances in Information Security, vol. 85, Cham: Springer International Publishing, págs. 65–91, doi :10.1007/978-3-030-66583-8_5, ISBN 978-3-030-66583-8, consultado el 13 de agosto de 2024
• Bursztein, Elie; Benko, Borbala; Margolis, Daniel; Pietraszek, Tadek; Archer, Andy; Aquino, Allan; Pitsillidis, Andreas; Savage, Stefan (5 de noviembre de 2014). "Fraude y extorsión artesanales: secuestro manual de cuentas en la naturaleza". Actas de la Conferencia de 2014 sobre medición de Internet . ACM. págs. 347–358. doi :10.1145/2663716.2663749. ISBN . 978-1-4503-3213-2.
• Onaolapo, Jeremiah; Mariconti, Enrico; Stringhini, Gianluca (14 de noviembre de 2016). "Qué sucede después de que se te filtre la identidad: comprensión del uso de credenciales de correo web filtradas en la red". Actas de la Conferencia de medición de Internet de 2016. ACM. págs. 65–79. doi :10.1145/2987443.2987475. ISBN 978-1-4503-4526-2.
• Grammatikakis, Konstantinos P.; Koufos, Ioannis; Kolokotronis, Nicholas; Vassilakis, Costas; Shiaeles, Stavros (26 de julio de 2021). "Comprensión y mitigación de los troyanos bancarios: de Zeus a Emotet". Conferencia internacional IEEE 2021 sobre ciberseguridad y resiliencia (CSR) . IEEE. págs. 121–128. arXiv : 2109.01610 . doi :10.1109/CSR51186.2021.9527960. ISBN . 978-1-6654-0285-9.