ForceCopy Stealer: la amenaza furtiva que ataca los datos del navegador web

Una nueva herramienta en el arsenal de un conocido grupo de piratas informáticos

Los expertos en ciberseguridad han descubierto una sofisticada amenaza cibernética conocida como forceCopy Stealer, una herramienta de recopilación de información que se utiliza en ataques dirigidos. Este ladrón está vinculado a Kimsuky , un grupo de piratas informáticos bien documentado que se cree que está afiliado a los servicios de inteligencia de Corea del Norte. Informes recientes indican que Kimsuky ha estado aprovechando técnicas de phishing para distribuir forceCopy Stealer, centrándose en obtener datos confidenciales de los usuarios almacenados en los navegadores web.

Cómo los atacantes implementan forceCopy Stealer

El método de entrega de forceCopy Stealer se basa en correos electrónicos engañosos diseñados para parecer legítimos. Estos correos electrónicos suelen incluir un archivo adjunto que se hace pasar por un documento de Microsoft Office o PDF, que en realidad es un archivo de acceso directo de Windows (LNK). Una vez que el destinatario abre el archivo, este activa scripts maliciosos a través de PowerShell o mshta.exe de Microsoft, que son herramientas legítimas del sistema que a menudo se explotan con fines no autorizados.

Tras la ejecución de estos scripts, se recuperan cargas útiles adicionales de una fuente externa. A continuación, los atacantes implementan otras herramientas junto con forceCopy Stealer, incluido un troyano conocido llamado PEBBLEDASH y una versión modificada de una utilidad de escritorio remoto de código abierto llamada RDP Wrapper. Estos componentes funcionan en conjunto para establecer un acceso a largo plazo a los sistemas comprometidos.

La función principal de forceCopy Stealer

En esencia, forceCopy Stealer está diseñado para extraer datos de ubicaciones específicas asociadas con los navegadores web. El objetivo principal parecen ser los archivos de configuración del navegador, que pueden contener credenciales de inicio de sesión almacenadas. Al centrarse en estos directorios, la herramienta evita ciertas restricciones de seguridad que protegen contra las técnicas convencionales de robo de credenciales. Dado que los navegadores web suelen almacenar contraseñas y otra información confidencial para la comodidad del usuario, un atacante con acceso a estos archivos podría recuperar los detalles de inicio de sesión de varios servicios en línea.

Implicaciones de la fuerzaActividades del ladrón de copias

La implementación de forceCopy Stealer genera inquietudes sobre las implicaciones más amplias para la ciberseguridad. Los datos robados del navegador podrían explotarse de varias maneras, incluido el acceso no autorizado a las cuentas, el fraude de identidad u otros ataques dirigidos. Además, dado que el ladrón se utiliza junto con otras herramientas maliciosas como registradores de pulsaciones de teclas y sistemas de comunicación basados en proxy, las personas u organizaciones afectadas pueden enfrentar riesgos de seguridad a largo plazo.

Un cambio notable en las tácticas de Kimsuky es el uso de herramientas como RDP Wrapper y malware proxy, que permiten a los atacantes mantener un acceso persistente a las máquinas comprometidas. Esto representa una evolución en sus métodos, alejándose de las puertas traseras utilizadas anteriormente en favor de un enfoque más modular y adaptativo.

Una amenaza persistente y en evolución

Kimsuky, también conocido por alias como APT43 y Emerald Sleet, ha estado activo durante más de una década. Con frecuencia, emplean tácticas de ingeniería social para eludir las medidas de seguridad. Su capacidad para adaptar campañas de phishing y explotar herramientas legítimas con fines maliciosos los ha convertido en una amenaza persistente en el panorama de la ciberseguridad.

Los últimos hallazgos sugieren que el grupo continúa perfeccionando sus métodos, siendo forceCopy Stealer la última incorporación a su arsenal. El énfasis en el robo de datos del navegador pone de relieve un interés permanente en las credenciales, posiblemente con fines de espionaje o de lucro. Este desarrollo subraya la necesidad de que los usuarios permanezcan alerta ante los intentos de phishing y el acceso no autorizado a los datos.

Fortaleciendo las defensas contra el robo de datos del navegador

Dado el creciente uso de almacenamiento de credenciales basado en navegador, es importante implementar medidas de protección contra amenazas como forceCopy Stealer. Los usuarios deben tener cuidado al manipular archivos adjuntos de correo electrónico, especialmente aquellos de fuentes desconocidas. Las organizaciones deben reforzar los protocolos de seguridad del correo electrónico y monitorear las actividades sospechosas que puedan indicar intentos de acceso remoto no autorizado.

Al comprender cómo opera forceCopy Stealer y las tácticas empleadas por grupos como Kimsuky, todos pueden tomar medidas proactivas para proteger sus activos digitales y reducir el riesgo de tales amenazas cibernéticas.