Se ha encontrado una nueva cepa de malware de información llamada Statc Stealer que infecta dispositivos que ejecutan Microsoft Windows para desviar información personal y de pago confidencial.
«Statc Stealer exhibe una amplia gama de capacidades de robo, lo que lo convierte en una amenaza importante», dijeron los investigadores de Zscaler ThreatLabz, Shivam Sharma y Amandeep Kumar, en un informe técnico publicado esta semana.
«Puede robar información confidencial de varios navegadores web, incluidos datos de inicio de sesión, cookies, datos web y preferencias. Además, apunta a billeteras de criptomonedas, credenciales, contraseñas e incluso datos de aplicaciones de mensajería como Telegram».
Escrito en C++, el ladrón malicioso se abre paso en los sistemas de las víctimas cuando se engaña a las víctimas potenciales para que hagan clic en anuncios aparentemente inocuos, y el ladrón imita un formato de archivo de video MP4 en navegadores web como Google Chrome.
La carga útil de la primera etapa, al colocar y ejecutar un instalador de PDF señuelo, también implementa sigilosamente un binario de descarga que procede a recuperar el malware ladrón de un servidor remoto a través de un script de PowerShell.
El ladrón presenta controles sofisticados para inhibir la detección de sandbox y el análisis de ingeniería inversa, y establece conexiones con un servidor de comando y control (C&C) para filtrar los datos recopilados mediante HTTPS.
Uno de los antianálisis incluye una comparación de los nombres de archivo para inspeccionar cualquier discrepancia y detener su ejecución, si se encuentra. Los navegadores web objetivo incluyen Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Opera y Yandex Browser.
«La importancia de la técnica de exfiltración de Statc Stealer radica en su potencial para robar datos confidenciales del navegador y enviarlos de forma segura a su servidor C&C», dijeron los investigadores. «Esto permite que el malware recopile información valiosa, como credenciales de inicio de sesión y datos personales, con fines maliciosos como el robo de identidad y el fraude financiero».
Los hallazgos se producen cuando eSentire publicó un análisis de una versión actualizada de Raccoon Stealer , cuya versión 2.1 se lanzó a principios de febrero.
Los autores de Raccoon Stealer detuvieron temporalmente el trabajo en el malware el año pasado luego del arresto de Mark Sokolovsky en marzo de 2022, quien quedó expuesto como uno de los principales desarrolladores después de cometer el error fatal de vincular una cuenta de Gmail que usó para registrarse en un foro de ciberdelincuencia bajo el alias Photix a una cuenta de iCloud de Apple, revelando así su identidad en el mundo real.
«La versión actualizada incluye funciones como la recopilación de datos de Signal Messenger, la limpieza de la detección de Defender (probablemente cambiando el código, la ofuscación para evitar detecciones) y la fuerza bruta automática para billeteras criptográficas», señaló eSentire la semana pasada.
Fuente y redacción: thehackernews.com