Kapersky Lab confirmó la cifra de 26 millones de dispositivos infectados con malware tipo infostealer, este malware no solo roba información financiera, sino también credenciales, cookies y otros datos sensibles, que luego son recopilados y vendidos en la dark web (el mercado negro de internet).
Según el informe Kapersky Digital Footprint Intelligence se estima que de esos 26 millones de infectados, se recopiló información acerca de 2.3 millones de tarjetas bancarias. Los dispositivos pueden ser infectados mediante la ejecución de software que parece una aplicación legítima pero realmente esta infectada con este malware. También se ha propagado a través del phising, sitios webs y redes comprometidas, no solo compromete a usuarios sino también a organizaciones enteras.
Este malware suele venderse como un servicio de suscripción mensual. El precio puede oscilar entre 50 y más de 1000 USD al mes, para acceder a un servidor de comando y control (C2) operado por el desarrollador. El servicio suele ofrecer diversas funciones de soporte, incluyendo múltiples maneras de ver, descargar y compartir datos robados. También existen servidores C2 autoalojados para ladrones, que suelen venderse por una tarifa fija.
Los foros clandestinos ofrecen un espacio compartido para que los actores de amenazas discutan proyectos en curso, soliciten nuevas funciones y publiquen reseñas de malware. También ofrecen un mercado para anunciar ladrones nuevos y existentes. Foros clandestinos como XSS is y exploit in son populares entre los actores de amenazas involucrados en el desarrollo e implementación de ladrones de información.
Los datos robados están disponibles en foros clandestinos, mercados y otras plataformas en línea que atienden a actores de amenazas interesados en obtener credenciales, información financiera, datos personales, datos bancarios, monederos de criptomonedas y otra información sensible, secreta o valiosa. Estos mercados suelen ser accesibles únicamente a través de Tor o los servicios de anonimato del Proyecto Internet Invisible (I2P) y suelen tener normas y regulaciones estrictas sobre el tipo de información que se puede intercambiar. Normalmente, solo pueden acceder a las ofertas los miembros aprobados por los administradores del mercado o que pagan una cuota de entrada. Algunos mercados solo venden registros de robo de información y han desarrollado su infraestructura para facilitar estas transacciones. Otros foros ofrecen numerosos productos ilícitos y tienen secciones que incluyen registros obtenidos de robo de información.
Malware tipo infostealer:
- RedLine
- META Stealer
- LummaC2
- Rhadamanthys
- Vidar
- Raccoon Stealer
- RisePro
- StealC
- Monster Stealer
Russian Market
El mayor mercado clandestino a donde llegan los registros/datos de infostealers, que ofrece a la venta. Históricamente, el mercado vendía principalmente registros obtenidos a través de cinco infostealers: RedLine, Raccoon, Vidar, Taurus y AZORult. A finales de febrero de 2023, dejó de ofrecer registros de Taurus y AZORult. Desde diciembre de 2022, los investigadores observaron la venta de registros de infostealers de RisePRO a través del mercado, aunque la oferta total sigue siendo baja. La siguiente tabla muestra la cantidad de registros de infostealers a la venta en Russian Market a finales de febrero de 2023:
En promedio 1 de cada 14 infecciones por Infostealers compromete información de tarjetas bancarias, en 2024 se registró la cifra de 9 millones de dispositivos infectados. "El número real de dispositivos infectados es aún mayor... Prevemos que el número total de dispositivos infectados con malware infostealer en 2024 se situe entre 20 y 25 millones" Fabio Assolini, director del Equipo Global de Investigación y Analisis (GReAT).
Recomendaciones en caso de infección:
- 1. Si se sospecha de infección, se deberá monitorear las notificaciones del banco, solicitar una nueva tarjeta, cambiar la contraseña de la cuenta y activar la autenticación de dos factores. Si se filtran detalles de la cuenta, tener cuidado de correos con phising, llamadas sospechosas y mensajes de textos fraudulentos.
- 2. Realizar escaneos completos de los dispositivos infectados en cuestión y eliminar cualquier malware encontrado.
- 3. Las empresas monitorean de forma periodica los mercados de la Dark Web para detectar cuentas comprometidas y asi avisar a los posibles clientes que se encuentren allí.
Referencia:
https://latam.kaspersky.com/about/press-releases/kaspersky-alerta-hackers-filtraron-23-millones-de-tarjetas-bancarias-en-la-dark-web
https://www.secureworks.com/research/the-growing-threat-from-infostealers
