En informática , los ladrones de información son una forma de software malicioso creado para vulnerar los sistemas informáticos y robar información confidencial, incluidos datos de inicio de sesión , información financiera y otra información de identificación personal . La información robada se empaqueta, se envía al atacante y, a menudo, se comercializa en mercados ilícitos con otros ciberdelincuentes .
Los bots de robo de información suelen estar formados por dos partes: el marco del bot que permite al atacante configurar el comportamiento del bot en el equipo de la víctima y un panel de gestión que adopta la forma de un servidor al que el bot envía datos. Los bots de robo de información se infiltran en los dispositivos a través de ataques de phishing , sitios web infectados y descargas de software malicioso, incluidos mods de videojuegos y software pirateado , entre otros métodos. Una vez descargados, los bots de robo de información recopilan información confidencial sobre el dispositivo del usuario y envían los datos de vuelta al servidor.
Los robadores de información suelen distribuirse bajo el modelo de malware como servicio (MaaS), en el que los desarrolladores permiten que otras partes utilicen sus robadores de información a cambio de una tarifa de suscripción. Esto permite que personas con distintos niveles de conocimientos técnicos puedan implementar un robador de información. La funcionalidad de los robadores de información puede variar: algunos se centran en la recolección de datos , mientras que otros ofrecen acceso remoto que permite ejecutar malware adicional. Los datos robados pueden utilizarse luego en campañas de phishing para otros ciberataques, como la implementación de ransomware .
La proliferación de proveedores de servicios de robo de información ha contribuido a un aumento en el número de incidentes de ciberseguridad que involucran a este tipo de ladrones. El número de registros de datos robados que se venden en el Mercado Ruso, un foro sobre delitos cibernéticos , ha aumentado significativamente desde 2022. Según una investigación de Kaspersky a mediados de 2023, el 24% del malware ofrecido como servicio son ladrones de información.
En el ámbito de los delitos cibernéticos , el robo de credenciales es un mecanismo bien conocido a través del cual individuos malintencionados roban información personal , como nombres de usuario , contraseñas o cookies, para obtener acceso ilegítimo a las cuentas en línea y al ordenador de una víctima. Este delito suele desarrollarse en cuatro etapas, siendo la primera la adquisición de las credenciales robadas. Los robadores de información son un tipo específico de malware , que están diseñados para esta etapa inicial. Suelen constar de dos partes distintas: el marco del bot y un servidor de comando y control , a menudo conocido como panel de gestión o interfaz. [1]
El marco del bot incluye un constructor que permite al atacante configurar cómo se comportará el infostealer en la computadora de un usuario y qué tipo de información robará. La interfaz de administración, generalmente escrita en lenguajes de desarrollo web tradicionales como PHP , HTML y JavaScript [2], generalmente se aloja en la infraestructura de nube comercial . [3] La interfaz de administración funciona principalmente como un servidor web al que el infostealer envía información confidencial. La interfaz también proporciona al atacante información sobre el estado de los infostealers implementados y le permite controlar el comportamiento de los infostealers. [2]
Los ladrones de información suelen distribuirse a través del modelo de malware como servicio (MaaS), que permite a personas con distintos conocimientos técnicos implementar estos programas maliciosos. En virtud de este modelo, suelen surgir tres grupos distintos: desarrolladores, proveedores de servicios de malware y operadores. Los desarrolladores, los más capacitados técnicamente, escriben el código del ladrón de información. Los proveedores de servicios de malware compran licencias para el malware y lo ofrecen como servicio a otros ciberdelincuentes. Los operadores, que pueden ser desarrolladores o proveedores de servicios según su nivel de habilidad, utilizan estos servicios para realizar el robo de credenciales . [1]
Una vez que se compra el malware, se propaga a las máquinas de las víctimas mediante diversas técnicas de ingeniería social . El phishing , incluidas las campañas de phishing dirigido que se dirigen a víctimas específicas, se emplean comúnmente. Los robadores de información suelen estar integrados en archivos adjuntos de correo electrónico o enlaces maliciosos que enlazan a sitios web que realizan descargas automáticas. [2] [4] Además, a menudo se incluyen con extensiones de navegador comprometidas o maliciosas, mods de juegos infectados y software pirateado o comprometido de otro modo. [4] Una vez que una víctima descarga y ejecuta el ladrón, se comunica con los servidores de comando y control del atacante , lo que le permite robar información de la computadora del usuario. Si bien la mayoría de los robadores de información se dirigen principalmente a las credenciales, algunos también permiten a los atacantes introducir y ejecutar de forma remota otro malware, como ransomware , en la computadora de la víctima. [1] [5]
Las credenciales obtenidas de los ataques de los ladrones de información a menudo se distribuyen como registros o volcados de credenciales, generalmente compartidos en sitios de pegado como Pastebin , donde los ciberdelincuentes pueden ofrecer muestras gratuitas, o se venden a granel en foros de piratería clandestinos, a menudo por montos tan bajos como $ 10. [6] [7] Los compradores de estas credenciales robadas generalmente inician sesión para evaluar su valor, en particular buscando credenciales asociadas con servicios financieros o vinculadas a otras credenciales con patrones similares, ya que son especialmente valiosas. [8] Las credenciales de alto valor a menudo se venden a otros ciberdelincuentes a precios más altos, [9] quienes luego pueden usarlas para varios delitos, incluido el fraude financiero , [10] integrando las credenciales en redes zombis y operaciones de mejora de la reputación [10] o como trampolines para ataques más sofisticados como estafar a empresas, distribuir ransomware o realizar espionaje patrocinado por el estado. [11] [6] Además, algunos cibercriminales utilizan credenciales robadas para realizar ataques de ingeniería social , haciéndose pasar por el propietario original para afirmar que han sido víctimas de un delito y solicitando dinero a los contactos de la víctima. [12] [13] Muchos compradores de estas credenciales robadas toman precauciones para mantener el acceso durante períodos más largos, como cambiar las contraseñas, usar redes Tor para ocultar sus ubicaciones, lo que ayuda a evitar la detección por parte de servicios que de otro modo podrían identificar y cerrar las credenciales robadas. [12] [13]
La función principal de un infostealer es exfiltrar información confidencial sobre la víctima a los servidores de comando y control de un atacante . El tipo exacto de datos que se exfiltran dependerá de las funciones de robo de datos habilitadas por el operador y la variante específica del infostealer que se utilice. [14] Sin embargo, la mayoría de los infostealers contienen funcionalidad para recolectar una variedad de información sobre el sistema operativo del host, la configuración del sistema y los perfiles de usuario. Algunos infostealers más avanzados incluyen la capacidad de introducir malware secundario como troyanos de acceso remoto y ransomware . [2]
En 2009, los investigadores del equipo de respuesta rápida de Symantec publicaron un análisis técnico del programa Zeus , uno de los primeros programas que se crearon. [15] Descubrieron que el malware extraía automáticamente todos los datos almacenados en el servicio de almacenamiento protegido de un ordenador (que normalmente utilizaba Internet Explorer para almacenar contraseñas) e intentaba capturar todas las contraseñas enviadas al ordenador mediante el protocolo POP3 y FTP . Además, el malware permitía a los investigadores definir un conjunto de archivos de configuración para especificar una lista de inyecciones web que se realizarían en el ordenador de un usuario, así como otro archivo de configuración que controlaba qué URL web supervisaría el malware. Otra configuración también permitía a los investigadores definir un conjunto de reglas que se podían utilizar para comprobar si las solicitudes HTTP adicionales contenían contraseñas u otra información confidencial. [16]
Más recientemente, en 2020, investigadores de la Universidad Tecnológica de Eindhoven realizaron un estudio en el que analizaron la información disponible para la venta en el mercado negro de credenciales impaas.ru. Como parte de su estudio, pudieron replicar el funcionamiento de una versión del ladrón de información AZORult . Entre las funciones descubiertas por los investigadores se encontraba un constructor que permitía a los operadores definir qué tipo de datos serían robados. Los investigadores también encontraron evidencia de complementos que robaban el historial de navegación de un usuario , un mecanismo personalizable basado en expresiones regulares que permite al atacante recuperar archivos arbitrarios de la computadora de un usuario, un módulo de extracción de contraseñas del navegador, un módulo para extraer el historial de Skype y un módulo para encontrar y exfiltrar archivos de billeteras de criptomonedas . [14]
Los investigadores también descubrieron que los datos robados con más frecuencia mediante los ladrones de información AZORult y vendidos en el mercado negro se podían clasificar en tres tipos principales: huellas dactilares, cookies y recursos. Las huellas dactilares consistían en identificadores que se construían al sondear una variedad de características que el navegador pone a disposición. No estaban vinculadas a un servicio específico, pero se consideraban un identificador único y preciso para los navegadores de un usuario. Las cookies permitían a los compradores secuestrar la sesión del navegador de una víctima inyectándola en un entorno de navegador. Los recursos se refieren a archivos relacionados con el navegador que se encuentran en el sistema operativo de un usuario, como archivos de almacenamiento de contraseñas. [17]
La creación de una operación de robo de información se ha vuelto cada vez más accesible debido a la proliferación de empresas de robo como servicio, lo que reduce significativamente las barreras financieras y técnicas. Esto hace que sea posible que incluso los ciberdelincuentes menos sofisticados participen en tales actividades. [2] En un artículo de 2023, los investigadores del Instituto de Tecnología de Georgia señalaron que el mercado de robo de información alojado es extremadamente maduro y altamente competitivo, y algunos operadores ofrecen instalar robo de información por tan solo $ 12. [18] Para los proveedores de servicios que ejecutan estas operaciones de robo, los investigadores estimaron que un operador típico de robo de información solo incurre en unos pocos costos únicos: la licencia para usar el robo de información que se obtiene de un desarrollador de malware y la tarifa de registro para el dominio utilizado para alojar el servidor de comando y control . El principal costo continuo en el que incurren estos operadores es el costo asociado con el alojamiento de los servidores. Con base en estos cálculos, los investigadores concluyeron que el modelo de negocio de robo como servicio es extremadamente rentable, y muchos operadores logran márgenes de ganancia de más del 90% con ingresos de miles de dólares. [19]
Debido a su extrema rentabilidad y accesibilidad, el número de incidentes de ciberseguridad que involucran a infostealers ha aumentado. [6] El cambio pospandémico de COVID-19 hacia el trabajo remoto e híbrido , donde las empresas dan a los empleados acceso a los servicios empresariales en sus máquinas domésticas, también se ha citado como una de las razones detrás del aumento de la efectividad de los infostealers. [20] [6] En 2023, una investigación de Secureworks descubrió que la cantidad de registros de infostealers (datos exfiltrados de cada computadora) que se vendían en el mercado ruso, el mercado clandestino más grande, aumentó de 2 millones a 5 millones de registros desde junio de 2022 hasta febrero de 2023. [20] Según la investigación de Kaspersky a mediados de 2023, el 24% del malware ofrecido como servicio son infostealers. [21]