En inglés se utiliza el término infostealer para agrupar a distintos tipos de malware que tienen capacidad de robar información. Suelen buscar datos de tarjetas de crédito y credenciales de todo tipo de cuentas: desde redes sociales, correo electrónico y aplicaciones en general, hasta plataformas de streaming.
Si bien existen muchos tipos de malware que pueden robar información, el término infostealer frecuentemente se refiere a un grupo de familias de malware en particular, como Redline, Racoon, Vidar, Lumma, Meta, por nombrar algunos.
Lo que tienen en común varias de estas familias es que se centran en el robo de contraseñas y otro tipo de datos almacenados en una computadora para obtener una ganancia económica. También es frecuente que se ofrezcan como servicio mediante programas de afiliados conocido como malware as a service (MaaS), es decir, a grandes rasgos, que los cibercriminales ofrecen el acceso al malware a terceros y les brindan soporte a cambio de una suscripción.
Pero más allá de este grupo de familias de malware, existen otros tipos de programas maliciosos con la capacidad para robar información que también podemos incluir en la categoría de infostealer. Sobre todo, porque comparten algo fundamental: se suelen utilizar en campañas que tienen como objetivo de robar información para obtener una ganancia económica.
Algunas de las categorías de malware que detallamos a continuación describen funcionalidades o capacidades típicas de cada tipo de malware, pero es importante tener en cuenta que algunos programas maliciosos combinan muchas de estas capacidades. Por lo tanto, es común encontrar troyanos de acceso remoto con la capacidad de keyloggers o troyanos bancarios que comparten las mismas capacidades de los troyanos para el robo de información.
1. Web Skimmers (Aka MageCart)
Cuando hablamos de web skimmers o de MageCart nos referimos a un tipo de código malicioso que busca robar información de quienes visitan o interactúan con sitios previamente comprometidos, generalmente mediante la inyección de código en estos sitios.
Los web skimmers suelen buscar datos de tarjetas de crédito o débito. Generalmente, atacan sitios que tienen un carrito de compra (ecommerce) creados en WordPress o Magento. Las vulnerabilidades que permiten la inyección de estos códigos pueden estar en las mismas plataformas o en complementos (plugins) que ofrecen funcionalidades adicionales, pero que presentan fallos que los cibercriminales aprovechan para manipular estos sitios y añadir sus piezas de código malicioso.
Un ejemplo de este malware es JS/Spy.Banker. Si bien esta es una detección genérica que corresponde a una pieza de código escrita en JavaScrip que busca robar datos bancarios, en varios casos la detección corresponde a Web Skimmers. La misma ha estado dentro de las principales detecciones de malware del tipo infostealer en América Latina y también a nivel global, con decenas de miles de detecciones. Desde 2021 la detección de JS/Spy.Banker ha crecido 343%.
2. Troyanos para el robo de información (Redline, Racoon o Vidar)
Cuando se habla de infostealers se suele referirse a un tipo de troyanos con características similares que los diferencian de otros tipos de malware. Hablamos programas maliciosos cuyo principal objetivo es el robo de información almacenada en el navegador, como contraseñas, nombres de usuario, credenciales de acceso a billeteras de criptomonedas, cuentas de correo, redes sociales, o de cualquier otra app en el equipo. Generalmente, Ejemplos de estos troyanos son RedLine, Racoon, Vidar, Azorult, Meta, o Lumma Stealer entre muchos otros.
Si bien muchos de estos infostealers tienen capacidades para realizar otras acciones maliciosas, generalmente se observan en campañas masivas que se distribuyen a través de cracks de software desde enlaces de descarga en YouTube, películas piratas, así como a través de anuncios falsos en Google y Facebook, correos de phishing, sitios falsos, entre otros.
Estos troyanos han experimentado un crecimiento en actividad en los últimos años y es la responsable de muchas filtraciones de organizaciones públicas y privadas que han sido publicadas para la venta en foros.
Esto en gran parte se debe a que este tipo de infostealers son cada vez más accesibles, ya que se ofrecen para la venta o bajo suscripción y a un bajo costo en foros clandestinos o en grupos de Telegram. Esto permite que muchas personas tengan acceso al malware y a toda una infraestructura que facilita el acceso al negocio del cibercrimen, incluso sin tener muchos conocimientos técnicos.
3. Troyanos de acceso remoto (Agent Tesla, Formbook, HoudRat)
La lista de troyanos de acceso remoto, conocidos en inglés por el acrónimo de RAT, es larga. Los troyanos de acceso remoto son un tipo de malware que tiene la capacidad de ser controlado por el atacante de manera remota y realizar todo tipo de acciones en la computadora de la víctima.
Este tipo de malware es utilizado para el robo de información sensible y puede obtener información a través de distintas vías. Por ejemplo, pueden extraer credenciales de distintos software, obtener cookies de navegadores, registrar las pulsaciones de teclado o realizar capturas de pantalla del equipo de la víctima,.
El más activo en la actualidad es Agent Tesla, pero existen otros con gran actividad, como Formbook, HoudRat, AsyncRAT, njRAT, Remcos, etc. La forma de distribuirse es muy variada, hemos visto desde sitios falsos, correos con adjuntos maliciosos.
4. Keyloggers
Cuando hablamos de keyloggers nos referimos a un software con muchas funcionalidades para obtener información de una computadora infectada. Por ejemplo, es capaz de registrar y guardar las teclas que pulsa la persona detrás del dispositivo de la víctima, así como realizar capturas de pantalla. Si bien los keyloggers son utilizados para espiar, también se utilizan en campañas para robar credenciales y otro tipo de información.
Aunque muchos de los malware antes mencionados incluyen la funcionalidad de keylogging como parte de un arsenal de recursos y herramientas para robar información, muchas de las detecciones de malware en América Latina durante 2023 corresponden a keyloggers que se ofrecen libremente en la web como programas aislados.
5. Troyanos bancarios
El último de los cinco tipos de malware que roba información que mencionamos en este artículo son los troyanos bancarios. Se caracterizan por tener un objetivo principal que es robar credenciales de sitios de banca en líneas y en algunos casos también de billeteras virtuales y de criptomonedas.
Los troyanos bancarios existen desde hace más de veinte años. Este tipo de malware apunta tanto a computadoras como a smarthpones. Algunos de los más populares a lo largo de los años han sido Zeus, Hydra o Dridex.
Los troyanos bancarios han logrado llegar infectar a sus víctimas desde Google Play, pero también se distribuyen a través de falsas apps de otros servicios, así como sitios falsos, plugins o extensiones maliciosas o correos electrónicos con enlaces o adjuntos maliciosos.
También existe una serie de doce familias de troyanos bancarios de América Latina, entre los cuales se encuentran Mekotio, Casbaneiro o Grandoreiro. Este tipo de troyanos han estado muy activos en la región y se han distribuido a través de correos con adjuntos maliciosos. La forma de robar credenciales era mediante ventanas emergentes que hacían creer a las víctimas que estaban ingresando a su cuenta bancaria a través de la página oficial.
Existen distintos tipos de malware que buscan robar información. Algunos a credenciales bancarias, otros a credenciales de todo tipo de cuentas o datos sensibles. Los infostealers como Redline, Racoon o Vidar son muy activos en la actualidad. Entre otras cosas, como consecuencia de un mercado de compraventa de la información que roban que hace que el negocio sea rentable y de fácil acceso, incluso para personas sin conocimientos técnicos avanzados.
Para estar protegido se requiere estar informado, buenos hábitos de seguridad en internet, y estar protegido con un software antivirus de buena reputación que sea capaz de detectar y bloquear a tiempo cualquier tipo de programa malicioso que intente acceder a nuestros dispositivos.
NotiVeraz