Infostealer: Cómo roban los delincuentes las credenciales de un dispositivo
Tabla de contenidos
El infostealer es un malware que puede sustraer las contraseñas, cookies y demás credenciales de los navegadores, aplicaciones y documentos de un dispositivo
«Miau, miau, miau». De esta forma, una cuenta de X anunció a principios de 2024 que los problemas que estaban experimentando los servicios de internet de una compañía de telecomunicaciones en España eran consecuencia de un ciberataque. ¿Cómo se originó este incidente? En septiembre de 2023, un actor malicioso usó un infostealer para infectar un ordenador corporativo de la multinacional. De tal forma que pudo obtener las contraseñas que dicho dispositivo almacenaba en navegadores web y aplicaciones. Entre ellas se encontraba la clave para acceder al registro regional de internet de Europa, Oriente Medio y Asia Central (RIPE), que asigna y registra los recursos de la red. Esta contraseña se exfiltró y era pública.
Además, a lo largo de todo el otoño la empresa no había cambiado la clave ni contaba con un sistema de autenticación multifactor para acceder a su cuenta del RIPE. De ahí que el ataque se llevase a cabo con facilidad.
Este incidente de seguridad es solo uno de los múltiples casos de ciberataques en los que el uso de un infostealer ha permitido robar credenciales de acceso a cuentas bancarias, Software-as-a-Service, cuentas en redes sociales o carteras de criptomonedas.
Los infostealer son uno de los tipos de malware más empleados en la actualidad y sirven para recopilar las credenciales que se almacenan en los navegadores, las aplicaciones y los documentos de un dispositivo, así como las cookies de sesión e información financiera.
A continuación, vamos a repasar cómo se llevan a cabo los ataques de infostealer, cuáles son los objetivos de los delincuentes y qué pueden hacer las empresas para proteger sus cuentas corporativas.
Telecomunicaciones, tecnología, turismo, energía, retail… Ningún sector está a salvo
Los infostealer están siendo empleados por los grupos delictivos para atacar a compañías de múltiples sectores económicos. De ahí que sea fundamental que las empresas, sin importar su ámbito de actividad, tengan en cuenta esta amenaza.
No solo el sector de las telecomunicaciones está en el punto de mira de los delincuentes que desarrollan o contratan infostealer. También se han producido incidentes en sectores tan dispares como la industria petrolera o el ámbito turístico. Por ejemplo, el infostealer Rhadamanthys Stealer se ha empleado en los últimos años para obtener credenciales almacenadas en archivos y navegadores de petroleras y gasísticas.
Mientras que los fraudes contra el sector turístico se han convertido en una amenaza global en la que se emplean infostealer para robar las credenciales de acceso de los hoteles o las agencias de viaje a plataformas de reserva hotelera como Booking. ¿Con qué fin? Estafar a sus clientes.
Proteger el acceso a los software
Otro sector en el que los ataques con infostealer son una amenaza de primer orden es el retail. Los delincuentes buscan obtener acceso a las aplicaciones Cloud que usan las empresas de este sector, desde los gestores de correo hasta las aplicaciones de almacenamiento de documentos en la nube como Google Drive o OneDrive. De ahí que los infostealer sean, también, un problema para las compañías que prestan servicios tecnológicos que tienen que realizar un esfuerzo para fortalecer el proceso de acceso y autenticación a su software.
Asimismo, debemos tener en cuenta que los delincuentes no solo atacan a profesionales de empresas, sino que muchas veces los ataques no se dirigen contra targets concretos. Es decir, que un ciudadano común y corriente también puede ver como su ordenador o su móvil son infectados con un infostealer con el objetivo de robarle las credenciales de acceso de sus cuentas en redes sociales como LinkedIn, plataformas de streaming como Spotify, empresas de retail como Amazon o su gestor de correo como Gmail o, incluso, su cuenta bancaria.
La ingeniería social es crítica a la hora de conseguir un vector de entrada
¿Cómo llegan los infostealer a los dispositivos corporativos? La respuesta a esta pregunta no es demasiado original: siempre hay un elemento de ingeniería social.
Por ejemplo, Rhadamanthys Stealer se ha distribuido a través de campañas de phishing. El email también es el vector de entrada prototípico de los fraudes contra el sector turístico, porque los delincuentes se hacen pasar por clientes de las cadenas hoteleras o las agencias de viaje, enviando peticiones especiales a través de documentos infectados con un infostealer.
Una vez que los atacantes han obtenido información personal de sus objetivos, son capaces de utilizar dicha información en ataques dirigidos de ingeniería social aún más convincentes para tratar incluso de obtener los datos necesarios para evadir segundos factores de autenticación. En estos ataques, se realizan llamadas telefónicas en las que se presentan datos legítimos para aumentar la confianza de las víctimas y que estas les acaben proporcionando el acceso de segundo factor.
El rol del malvertising
Otra técnica habitual para conseguir infectar con infostealer un dispositivo es el malvertising. Por ejemplo, actores maliciosos han distribuido Lumma Stealer usando videos falsos de Youtube cuyo contenido versaba sobre problemas presentes en algún software y que dirigía a las víctimas a una URL en la que podrían descargar guías para saber cómo subsanar estos fallos.
Otro infostealer que se ha distribuido recientemente empleando el malvertising es Atomic Stealer, en su caso, a través de Google Ads. Además, los delincuentes también han empleado otra vía de acceso para instalar esta clase de malware: crear aplicaciones falsas como plataformas de redes sociales en las que se puedan compartir contenidos, llevar a cabo un trabajo exhaustivo para darlas a conocer, dotarlas de legitimidad y conseguir que las víctimas las descarguen e instalen en sus dispositivos.
Más allá de las técnicas de ingeniería social, existe otra vía para que los actores maliciosos logren infectar un dispositivo con un infostealer y consiste en que dicho programa malicioso sea la carga útil de otro tipo de malware: los troyanos.
Los infostealer roban contraseñas, cookies, información bancaria…
Una vez que el infostealer se comienza a ejecutar en el dispositivo infectado procede a escanear el equipo para recopilar todas las credenciales y cookies de sesión almacenadas en navegadores web, software y archivos.
Por ejemplo, a mediados de abril de 2024, se dio a conocer una campaña que engañaba a sus víctimas ofreciéndoles una copia gratuita de un videojuego. Sin embargo, lo que se descargaba en los equipos era una variante del infostealer RedLine Stealer, un programa que se ha popularizado en esta década y que permite obtener contraseñas, cookies e, incluso, información de autorrelleno y datos de carteras de criptomonedas.
Prácticamente al mismo tiempo también se hizo público que CoralRaider, un actor malicioso de origen vietnamita ha puesto en marcha una campaña para infectar con tres tipos de infostealer (Lumma, Rhadamanthys y Cryptbot) múltiples equipos con el objetivo de obtener información financiera y credenciales de acceso a redes sociales.
En el transcurso de un ataque, CoralRaider es capaz de escanear los principales navegadores del mercado (Chrome, Firefox, Edge, Avast…), aplicaciones para gestionar contraseñas y procesos de autenticación (Google Authenticator, KeePass…) y carteras de criptomonedas (Bitcoin, Litecoin, Agent X…).
Para que un infostealer pueda llevar a cabo su labor maliciosa, es fundamental que actúe pasando desapercibido, sin llamar la atención de los mecanismos de seguridad de la empresa atacada. De ahí que un elemento esencial de los ataques con infostealer es la ofuscación.
¿Qué hacen los delincuentes con las credenciales y las cookies que obtienen?
Los actores hostiles que recurren a los infostealer emplean diversas vías para monetizar los ataques:
- Poner a la venta cuentas para acceder a software, aplicaciones y plataformas, por ejemplo, sistemas de IA generativa como ChatGPT.
- Acceder a cuentas bancarias para realizar fraudes económicos.
- Usar la información obtenida para suplantar la identidad de las víctimas y cometer nuevos ataques, como sucede en los fraudes en el sector turístico.
- Obtener datos críticos al acceder a programas especialmente sensibles, como puede ser un gestor de correo corporativo, un software de facturación o un repositorio de archivos.
- Hackear cuentas en redes sociales para usarlas a la hora de realizar otros ataques.
Además, en algunos casos, la información se exfiltra para dañar la reputación de las organizaciones atacadas.
Los infostealer se comercializan en la Dark Web, Telegram o Discord
¿Solo los grupos que pueden diseñar infostealer propios pueden lanzar esta clase de ataques? La respuesta es un rotundo no, como se puede apreciar en varios de los casos que hemos desgranado.
Esto se debe a que algunos de los infostealer más conocidos a nivel global (RedLine, Lumma…) se comercializan a través de la Dark Web y canales en aplicaciones como Telegram o Discord. De tal forma que existen plataformas de Malware-as-a-Service que ofrecen todos los elementos necesarios para realizar un ataque con infostealer y obtener credenciales y cookies de acceso a plataformas, aplicaciones y software.
Esto explica el crecimiento exponencial que han experimentado los ataques con infostealer y el hecho de que no solo las grandes compañías puedan verse afectadas por ellos, sino también empresas pequeñas y grandes que operan en un amplio abanico de sectores.
Que a una empresa le sustraigan las credenciales o las cookies para acceder a software crítico para su modelo de negocio puede conllevar consecuencias de enorme gravedad e, incluso, provocar que un futuro ataque afecte a sus procesos de negocio.
Además, claro está, de que el conjunto de la ciudadanía puede ser víctima de esta clase de ataques. Puesto que, hoy en día, prácticamente todas las personas tienen cuentas bancarias online, contratan servicios de streaming como Netflix, disponen de un gestor de correo electrónico o tienen perfiles en redes sociales.
De ahí, también, que los infostealer sean una amenaza para las compañías que prestan los servicios a los que se acceden a través de las cuentas vulneradas. En este sentido, empresas como las entidades bancarias o las plataformas de redes sociales deben disponer de servicios de ciberinteligencia que les permitan hacer frente al fraude y la piratería online, a la vez que refuerzan los procesos de acceso y autenticación a sus aplicaciones.
¿Cómo se pueden combatir los ataques con infostealer?
Las empresas que deseen evitar que sus equipos sean infectados con un infostealer pueden recurrir a servicios de ciberseguridad integrales:
- Test de ingeniería social. Con el objetivo de formar a los profesionales y evitar que mediante el phishing o el malvertising se pueda abrir la puerta a una infección con infostealer.
- Servicios de Threat Hunting proactivo. Los grupos delictivos desarrollan continuamente nuevas variantes de infostealer y ponen en marcha técnicas, tácticas y procedimientos más complejos, difíciles de detectar y con un potencial devastador mayor. Por eso, los servicios de threat hunting pueden ayudar a detectar las herramientas existentes y sus variantes en una fase temprana.
- Servicios de Red Team. Los profesionales que conforman un Red Team pueden diseñar escenarios específicos centrados en ataques con infostealer. ¿Con qué objetivo? Comprobar cómo respondería una empresa en caso de que un actor malicioso intentase infectar sus equipos corporativos, detectar debilidades en las capas defensivas y optimizar el funcionamiento de los mecanismos de detección y respuesta.
- Servicios de respuesta a incidentes. En caso de que se detecte la ejecución de un infostealer en un equipo corporativo es crítico actuar cuanto antes para evaluar el alcance del compromiso, expulsar al actor malicioso y comprender cómo se produjo el ataque para evitar incidentes futuros.
El nivel de digitalización del tejido productivo es tan elevado que todas las compañías emplean software, programas y plataformas Cloud para llevar a cabo sus actividades económicas. Por eso, las credenciales para acceder a estos activos son tan valiosas y resulta fundamental protegerlas frente al uso de un infostealer.
Un ataque en el que se usa este tipo de malware puede desencadenar una crisis empresarial de gran envergadura, provocar cuantiosas pérdidas económicas, afectar a los procesos de negocio y generar daños no solo en la organización, sino también en sus clientes.