En inglés, se emplea el término «infostealer» para englobar diversos tipos de malware con la capacidad de sustraer información. Estos suelen apuntar a obtener datos de tarjetas de crédito y credenciales de distintos tipos de cuentas, desde redes sociales, correos electrónicos y aplicaciones en general, hasta plataformas de streaming.

Aunque hay variados tipos de malware que pueden robar información, el término «infostealer» suele referirse a un conjunto específico de familias de malware, como Redline, Racoon, Vidar, Lumma, Meta, entre otros.

Lo que varias de estas familias tienen en común es su enfoque en el robo de contraseñas y otros datos almacenados en computadoras para obtener beneficios económicos. También es común que se ofrezcan como servicio a través de programas de afiliados, conocido como «malware as a service» (MaaS), donde los ciberdelincuentes brindan acceso al malware a terceros y les dan soporte a cambio de una suscripción.

Además de este grupo de familias de malware, existen otros tipos de software malicioso con capacidad para robar información que también pueden ser considerados como «infostealers». Sobre todo, porque comparten un objetivo común: su uso en campañas para obtener ganancias económicas a través del robo de información.

Continuemos revisando los cinco tipos de malware más activos en el robo de información en la actualidad:

1. Skimmers Web (también conocidos como MageCart).

Al referirnos a skimmers web o a MageCart, hablamos de un tipo de código malicioso diseñado para robar información de los visitantes o usuarios que interactúan con sitios previamente comprometidos. Por lo general, logran esto mediante la inserción de código en dichos sitios, los skimmers web suelen buscar información de tarjetas de crédito o débito.

Normalmente, dirigen sus ataques a sitios de comercio electrónico creados en WordPress o Magento,  las vulnerabilidades que permiten la inserción de estos códigos pueden encontrarse tanto en las plataformas mismas como en complementos (plugins) que ofrecen funciones adicionales, pero que presentan fallas que los delincuentes cibernéticos explotan para manipular estos sitios y añadir su código malicioso.

Un ejemplo de este tipo de malware es JS/Spy.Banker. Aunque esta detección es genérica y se refiere a un fragmento de código escrito en JavaScript que busca robar datos bancarios, en varios casos corresponde a Skimmers Web. Ha sido una de las detecciones principales de malware del tipo infostealer en América Latina y a nivel mundial, con decenas de miles de detecciones. Desde 2021, las detecciones de JS/Spy.Banker han aumentado un 343%.

Algunas personas han reportado sitios comprometidos con este código malicioso:

Imagen 1.

Sitio reportado por el foro de la marca ESET.

2. Troyanos especializados en robo de información (Redline, Racoon o Vidar).

Cuando se mencionan los infostealers, se hace referencia a un tipo particular de troyanos que comparten características distintivas que los separan de otros tipos de malware. Estos son programas maliciosos cuyo objetivo principal es extraer información guardada en el navegador, como contraseñas, nombres de usuario, credenciales de carteras de criptomonedas, cuentas de correo, redes sociales, o cualquier otra aplicación en el dispositivo. Ejemplos comunes de estos troyanos incluyen RedLine, Racoon, Vidar, Azorult, Meta, o Lumma Stealer, entre otros.

Aunque muchos de estos infostealers pueden llevar a cabo otras acciones maliciosas, suelen ser utilizados en campañas de distribución masiva a través de cracks de software, enlaces de descarga en YouTube, películas piratas, anuncios falsos en Google y Facebook, correos de phishing, sitios web fraudulentos, entre otros medios.

Imagen 2.

Video de YouTube que ofrece crack de un programa infecta con el malware Redline.

Los troyanos han aumentado su actividad en los últimos años, siendo responsables de numerosas filtraciones de información de organizaciones tanto públicas como privadas, las cuales han sido puestas a la venta en foros.

Esto se debe en gran medida a la mayor accesibilidad de este tipo de infostealers, que se venden o suscriben a bajo costo en foros clandestinos o grupos de Telegram. Esto posibilita que muchas personas accedan al malware y a una infraestructura completa que facilita la incursión en el negocio del cibercrimen, incluso sin poseer amplios conocimientos técnicos.

3. Troyanos de acceso remoto (Agent Tesla, Formbook, HoudRat).

La lista de troyanos de acceso remoto, conocidos como RAT en inglés, es extensa. Estos troyanos son capaces de ser controlados de forma remota por el atacante para llevar a cabo diversas acciones en la computadora de la víctima.

Este tipo de malware se emplea para robar información sensible y puede obtener datos de varias maneras. Por ejemplo, pueden extraer credenciales de diferentes programas, obtener cookies de navegación, registrar pulsaciones de teclado o capturar la pantalla del equipo de la víctima.

Actualmente, el más activo es Agent Tesla, pero existen otros con alta actividad, como Formbook, HoudRat, AsyncRAT, njRAT, Remcos, entre otros. La forma de distribución es muy diversa, desde páginas web falsas hasta correos con adjuntos maliciosos.

Imagen 3.

Ejemplo de correo falso que se hace pasar por DHL con adjunto malicioso que descarga Agent Tesla. Fuente: ESET.

4. Keyloggers.

Cuando se mencionan los keyloggers, nos referimos a un tipo de software con diversas funciones que permite obtener información de una computadora infectada. Por ejemplo, puede registrar y almacenar las teclas presionadas por la persona detrás del dispositivo de la víctima, así como tomar capturas de pantalla. Aunque los keyloggers se usan para espiar, también se emplean en campañas para robar credenciales y otro tipo de información.

A pesar de que muchos tipos de malware incluyen la capacidad de keylogging como parte de un conjunto de recursos y herramientas para el robo de información, gran parte de las detecciones de malware en América Latina durante 2023 corresponden a keyloggers que se ofrecen gratuitamente en la web como programas independientes.

5. Troyanos Bancarios.

Dentro de los cinco tipos de malware que mencionamos en este artículo, se encuentran los troyanos bancarios, los cuales se especializan en robar información. Su objetivo principal es obtener credenciales de sitios web bancarios, e incluso en algunos casos, de monederos virtuales y criptomonedas.

Los troyanos bancarios han existido por más de dos décadas y afectan tanto a computadoras como a teléfonos inteligentes. Algunos de los más conocidos a lo largo de los años son Zeus, Hydra o Dridex.

Estos troyanos han logrado infectar a sus víctimas a través de Google Play, además de distribuirse en falsas aplicaciones de otros servicios, sitios web fraudulentos, complementos maliciosos, correos electrónicos con enlaces o archivos adjuntos dañinos.

En América Latina, existen doce familias de troyanos bancarios como Mekotio, Casbaneiro o Grandoreiro, que han estado activos en la región. Se propagan a través de correos electrónicos con archivos adjuntos maliciosos. Estos tipos de troyanos solían robar credenciales mediante ventanas emergentes que simulaban ser la página oficial de inicio de sesión bancario.

En resumen.

Diversas formas de malware están diseñadas para robar información, desde credenciales bancarias hasta datos sensibles de todo tipo de cuentas. Actualmente, los infostealers como Redline, Racoon o Vidar son muy activos, impulsados por un mercado de compraventa de información robada que resulta lucrativo y accesible incluso para personas sin conocimientos técnicos avanzados.

Para garantizar la protección, es fundamental mantenerse informado, adoptar buenos hábitos de seguridad en línea y contar con un software antivirus de confianza que pueda identificar y bloquear a tiempo cualquier intento de acceso de programas maliciosos a nuestros dispositivos.

Fuente web: https://www.welivesecurity.com/es/malware/infostealers-5-tipos-malware-roban-informacion-mas-activos/