Un nuevo malware basado en Go conocido como Aurora Stealer se implementa cada vez más como parte de campañas diseñadas para robar información confidencial de hosts comprometidos.
«Estas cadenas de infección aprovecharon las páginas de phishing que se hacían pasar por páginas de descarga de software legítimo, incluidas las billeteras de criptomonedas o las herramientas de acceso remoto, y el método 911 que utilizaba videos de YouTube y sitios web de descarga de software falsos pirateados con SEO», dijo la firma de seguridad cibernética SEKOIA .
Anunciado por primera vez en los foros de ciberdelincuencia rusos en abril de 2022, Aurora se ofreció como un malware básico para otros actores de amenazas, y lo describió como un «botnet multipropósito con capacidades de robo, descarga y acceso remoto».
En los meses intermedios, el malware se redujo a un ladrón que puede recopilar archivos de interés, datos de 40 billeteras de criptomonedas y aplicaciones como Telegram.
Aurora también viene con un cargador que puede implementar una carga útil de siguiente etapa mediante un comando de PowerShell.
La compañía de ciberseguridad dijo que al menos diferentes grupos de delitos cibernéticos, llamados traffers , que son responsables de redirigir el tráfico de los usuarios a contenido malicioso operado por otros actores, han agregado Aurora a su conjunto de herramientas, ya sea exclusivamente o junto con RedLine y Raccoon .
«Aurora es otro ladrón de información que apunta a datos de navegadores, billeteras de criptomonedas, sistemas locales y actúa como un cargador», dijo SEKOIA. «Vendidos a un alto precio en los mercados, los datos recopilados son de particular interés para los ciberdelincuentes, ya que les permiten realizar lucrativas campañas de seguimiento, incluidas las operaciones de Big Game Hunting».
El desarrollo también se produce cuando los investigadores de la Unidad 42 de Palo Alto Networks detallaron una versión mejorada de otro ladrón llamado Typhon Stealer.
La nueva variante, denominada Typhon Reborn , está diseñada para robar billeteras de criptomonedas, navegadores web y otros datos del sistema, al tiempo que elimina funciones previamente existentes como el registro de teclas y la minería de criptomonedas en un probable intento de minimizar la detección.
«Typhon Stealer proporcionó a los actores de amenazas un constructor configurable y fácil de usar», dijeron los investigadores de la Unidad 42, Riley Porter y Uday Pratap Singh.
«Las nuevas técnicas antianálisis de Typhon Reborn están evolucionando a lo largo de las líneas de la industria, volviéndose más efectivas en las tácticas de evasión y ampliando su conjunto de herramientas para robar datos de las víctimas».