NUEVO MALWARE NOMBRADO STEALC

21/02/2023

BOLETÍN NRO 2023-111

Recientemente, se ha detectado un nuevo tipo de malware de robo de información llamado Stealc. El malware ha ganado terreno rápidamente en la dark web debido a su agresiva promoción de sus capacidades de robo de datos y a sus similitudes con malware similares como Vidar, Raccoon, Mars y Redline.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

El malware se detectó por primera vez en enero y se ha descubierto que tiene un panel de administración fácil de usar y capacidades de captura de archivos personalizables. Stealc está siendo promocionado activamente por un usuario llamado "Plymouth" en foros de hacking y canales privados de Telegram, y cada semana aparecen nuevas versiones. Stealc se basa en Vidar, Raccoon, Mars y Redline, y se ha encontrado similitudes en las comunicaciones de mando y control con Vidar y Raccoon.

Plymouth ha afirmado que Stealc puede capturar cualquier tipo de archivo deseado por el operador, además del típico objetivo de navegadores web, extensiones y carteras de criptomonedas. Stealc tiene una función de captura de archivos personalizable que le permite centrarse en cualquier tipo de archivo. El malware está a la venta en foros de ciberdelincuentes, y los clientes con acceso al panel de administración pueden generar nuevas muestras de malware, lo que aumenta la probabilidad de que se propague.

El nuevo malware ya ha atraído la atención de los ciberdelincuentes, con más de 40 servidores de mando y control y docenas de muestras en circulación. La popularidad de Stealc puede deberse a su construcción ligera de solo 80 KB, su uso de archivos DLL legítimos de terceros y su ofuscación base64 y RC4. Una vez desplegado, el malware elimina su ofuscación de cadenas y realiza comprobaciones antianálisis para asegurarse de que no se ejecuta en un entorno virtual o sandbox. A continuación, Stealc carga dinámicamente funciones WinAPI y comienza a comunicarse con el servidor C2, enviando el identificador de hardware y el nombre de compilación de la víctima en el primer mensaje y recibiendo una configuración como respuesta.

El malware recopila datos de los navegadores, extensiones y aplicaciones objetivo, y si su capturador de archivos personalizado está activo, también captura archivos específicos. A continuación, Stealc extrae todos los datos al C2 y se elimina a sí mismo y a los archivos DLL descargados del host comprometido.

A pesar de su pobre modelo de negocio, Stealc representa una amenaza significativa, ya que podría ser adoptado por ciberdelincuentes menos técnicos. La empresa advierte de que las organizaciones deben estar alerta y tomar las medidas adecuadas para proteger sus sistemas de este tipo de ataques.

Indicadores de Compromiso

Para acceder a la lista completa de IOC hacer click aquí.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New Stealc malware emerges with a wide set of stealing capabilities
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​