Investigación avanzada de amenazas: Análisis del malware de origen ruso que recopila y roba datos

Collector-stealer, un malware de origen ruso, se utiliza ampliamente en Internet para extraer datos confidenciales de los sistemas de los usuarios finales y almacenarlos en sus paneles de comando y control. Para ayudar a la industria a protegerse contra esta amenaza, Aditya K Sood y Rohit Chaturvedi del Centro de Excelencia en Investigación de Amenazas Avanzadas dentro de la Oficina del CTO de F5 presentan un análisis de 360 grados del malware Collector-stealer para descubrir artefactos ocultos que cubren el análisis binario, su funcionamiento y el diseño de paneles C&C asociados.

El fenómeno del coleccionista-ladrón se ha vuelto bastante omnipresente en un tiempo relativamente corto. La información robada resultante del malware generalmente se pone a disposición a través de mercados clandestinos con fines nefastos. Los atacantes utilizan Collector-stealer principalmente como objetivo a países europeos, pero también afecta a usuarios de otros países como Estados Unidos, China y Camboya.

A continuación se presentan algunos de los aspectos más destacados y las características interesantes de Collector-stealer descubiertas a través de este análisis:

• El recolector-ladrón utiliza múltiples formas de iniciar la infección, entre ellas:
  • Atraer a los usuarios para que visiten portales de phishing que alojan descargas de juegos gratuitos
  • Paquetes de software de activación/craqueo de Windows
  • Portal web de mineros falsos (portal web que imita contenido similar al portal de un proveedor de software de criptomonedas para desencadenar ataques de descargas no autorizadas)
• Collector Stealer está escrito en C++ e infecta la máquina del usuario con el fin de robar datos cruciales como contraseñas almacenadas, datos web, cookies, capturas de pantalla y más. Los autores de malware utilizaron técnicas de ofuscación en su código para frustrar a los investigadores y hacerlo más complicado.
   
• El recolector-ladrón, antes de enviar datos al servidor C&C, verifica la conectividad a Internet en la máquina de la víctima haciendo ping a la dirección IP 1.1.1.1 del solucionador de DNS de Cloudflare. Si la solicitud de ping falla, elimina el ejecutable junto con los datos recopilados de la máquina víctima y luego sale silenciosamente. De lo contrario, envía los datos recopilados al servidor C&C.
   
• El recolector-ladrón utiliza el protocolo HTTP y el método POST para enviar los datos recopilados. Antes de enviar los datos, el malware los comprime en un archivo .zip que luego se envía al servidor C&C.
  

El coleccionista-ladrón ganó popularidad en foros clandestinos debido a sus amplias características de malware. Hemos visto a muchos usuarios mostrar interés en comprar este malware y algunos grupos incluso han intentado proporcionar una versión crackeada. El grupo ruso "Hack_Jopi" vende Collector-stealer en foros desde octubre de 2018.

La investigación completa que detalla el análisis de este malware se ha publicado en Virus Bulletin. Obtenga el artículo de investigación que amplía lo anterior y otros hallazgos visitando:
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

¡Disfrutar!