Malware ladrón de guantes: una nueva era de robo de datos con un disfraz inteligente
Table of Contents
La aparición del malware ladrón de guantes
Glove Stealer es otra incorporación al mundo de las amenazas cibernéticas, que surge a través de campañas de phishing meticulosamente diseñadas y que aprovechan las tácticas de ingeniería social. Este ladrón de información basado en .NET funciona engañando a los usuarios para que comprometan sus propios sistemas sin saberlo. En observaciones recientes, los correos electrónicos de phishing que contienen archivos adjuntos con páginas HTML maliciosas se han convertido en un canal de distribución común para Glove Stealer. Estos archivos adjuntos a menudo muestran mensajes de error falsos diseñados para incitar a los usuarios a copiar y pegar scripts en su terminal PowerShell o en el indicador de ejecución de Windows, iniciando así el proceso de infección.
Cómo un ladrón de guantes consigue entrar
Glove Stealer aprovecha la confianza de los usuarios mediante tácticas como ClickFix , que engaña a los usuarios para que crean que están resolviendo problemas del sistema. Una vez que se ejecuta el script malicioso, inicia el contacto con un servidor de comando y control (C&C), lo que indica que la implementación en el sistema de la víctima se realizó correctamente. Este proceso de comunicación utiliza cadenas y marcadores de identificación únicos generados aleatoriamente, lo que establece una conexión que facilita que el atacante reciba más instrucciones.
Lo que el ladrón de guantes busca cosechar
El objetivo principal de Glove Stealer es la exfiltración de datos. Su objetivo es una amplia gama de información confidencial almacenada en navegadores, aplicaciones y extensiones de navegador. Su alcance se extiende a los principales navegadores, como Chrome, Firefox, Edge y Brave, entre otros. El malware también termina los procesos asociados con estos navegadores en ciclos rápidos, lo que le permite obtener acceso exclusivo a los datos almacenados sin interrupciones.
Además de los datos de navegación, Glove Stealer extiende una amplia red sobre otros activos digitales, apuntando a billeteras de criptomonedas, autenticadores 2FA, herramientas de administración de contraseñas e incluso clientes de correo electrónico. El malware examina más de 80 aplicaciones instaladas y escanea hasta 280 extensiones de navegador para extraer información valiosa, incluidas cookies, credenciales de inicio de sesión, datos de autocompletado y tokens OTP.
Metodología de recolección y almacenamiento de datos
El malware compila sistemáticamente los datos robados en archivos de texto organizados que se almacenan en estructuras de directorios específicas. Estos directorios se encuentran dentro de la ruta de la carpeta de documentos recientes del usuario y tienen como prefijo un hash MD5 derivado de una combinación del nombre de la computadora y el número de serie del disco.
Otros tipos de datos, como la información de autocompletado del navegador, las credenciales de contraseñas y los datos de la billetera, se almacenan en subcarpetas designadas de manera similar. Los detalles específicos del dispositivo, como el sistema operativo, el nombre de usuario, la configuración de idioma y las especificaciones de hardware, también se recopilan y registran en un archivo denominado INFS.txt.
Una sofisticada técnica de bypass
Una característica notable de Glove Stealer es su capacidad para eludir el cifrado vinculado a la aplicación, una medida de protección que se encuentra en los navegadores modernos. Al emplear un módulo que aprovecha el servicio IElevator, Glove Stealer elude estas medidas de seguridad de cifrado. Esta capacidad permite a los atacantes acceder a datos almacenados en el navegador que de otro modo estarían protegidos, lo que marca un avance significativo en la sofisticación de las amenazas de robo de información.
¿Cómo se produce la exfiltración?
Después de recopilar los datos, Glove Stealer los cifra utilizando el algoritmo 3DES en modo ECB. La clave de cifrado se genera dinámicamente a partir de un valor de marca de tiempo y se protege mediante un hash MD5. Esto garantiza que, incluso si se intercepta el paquete de datos robado, solo aquellos con la clave correspondiente pueden descifrarlo. El archivo ZIP que contiene los datos se coloca en el directorio de documentos recientes, y se nombra utilizando el mismo hash MD5 como prefijo.
La etapa final del ataque consiste en enviar el paquete cifrado al servidor C&C mediante una solicitud POST codificada en Base64. La clave de descifrado también se envía como parte de la carga de datos para garantizar que los atacantes mantengan el acceso a ella.
Implicaciones para los usuarios y la comunidad digital en general
Si bien Glove Stealer puede parecer estar en sus primeras etapas debido a su mínima ofuscación, su capacidad para infiltrarse y extraer datos de una amplia gama de aplicaciones indica su potencial para causar daños sustanciales. El hecho de que se haya dirigido contra billeteras de criptomonedas, administradores de contraseñas y herramientas de autenticación pone de relieve un cambio hacia amenazas destinadas a perturbar la seguridad financiera y personal a un nivel más profundo.
Para los usuarios, la presencia de Glove Stealer significa la importancia de estar alertas a la hora de gestionar comunicaciones inesperadas. Las tácticas de ingeniería social siguen evolucionando y, a menudo, incorporan mensajes engañosos que pueden parecer rutinarios pero que provocan graves infracciones de seguridad. Reconocer las señales de los intentos de phishing, evitar instrucciones no solicitadas que requieran la ejecución de scripts y mantener prácticas de seguridad actualizadas son fundamentales para mitigar dichos riesgos.
En resumen
Glove Stealer nos recuerda la adaptabilidad de las amenazas digitales, que evolucionan para eludir las nuevas medidas de seguridad y buscan objetivos cada vez más variados. Aunque simple en su forma actual, el alcance del malware subraya un potencial de desarrollo futuro que podría amplificar su impacto. La concienciación, la precaución y las medidas sólidas de ciberseguridad siguen siendo herramientas esenciales en el esfuerzo continuo por proteger los activos digitales y los datos personales de las amenazas emergentes.
