Las amenazas cibernéticas continúan evolucionando y una de las últimas amenazas emergentes identificadas por Equipo de investigación de CYFIRMA es el ladrón enojado Programa malicioso.
Se ha descubierto que este ladrón de información se anuncia activamente en varias plataformas en línea, incluidas Telegramalo que amplía su alcance y lo pone a disposición de una amplia audiencia de atacantes potenciales.
Angry Stealer es un malware sofisticado que ataca una amplia gama de información confidencial mediante técnicas avanzadas y tácticas de cambio de marca. Se basa en el Rage Stealer identificado anteriormente y comparte código, comportamiento y funcionalidad casi idénticos.
Las cargas útiles Stepasha.exe y MotherRussia.exe atacan cualquier sistema
Angry Stealer se implementa a través de un binario dropper, un ejecutable Win32 de 32 bits escrito en .NET, diseñado para ejecutar dos cargas útiles principales: “Stepasha.exe” y “MotherRussia.exe”. La carga útil principal, Stepasha.exe, funciona como el núcleo de la operación de Angry Stealer, centrándose en robar información confidencial. Esto incluye datos del navegador (Contraseñascookies e información de autocompletar), detalles de la billetera de criptomonedas, información del sistema, VPN credenciales, tokens de Discord y más. Luego, los datos se filtran a un servidor remoto a través de Telegram, utilizando credenciales codificadas y omitiendo la validación SSL para garantizar una transmisión de datos exitosa.
La carga útil secundaria, MotherRussia.exe, sirve como herramienta para crear más ejecutables maliciosos. Esta herramienta de creación permite a los atacantes generar malware personalizado, lo que podría facilitar el acceso remoto al escritorio o interacciones adicionales con bots. El enfoque de carga útil dual no solo amplía el alcance del robo de datos, sino que también permite la creación de software malicioso a medida, adaptado a objetivos específicos o escenarios de ataque.
Tras su ejecución, Angry Stealer se infiltra en la computadora de la víctima y comienza una recopilación sistemática de datos confidenciales. Se centra específicamente en los populares Navegadores web Utiliza un enfoque multiproceso que le permite recopilar datos de varios navegadores simultáneamente y extraer contraseñas, detalles de tarjetas de crédito, cookies, datos de autocompletado, marcadores, procesos en ejecución, capturas de pantalla y especificaciones del sistema. El malware organiza estos datos robados en un directorio designado ubicado en C:\Users\Username\AppData\Local\44_23, donde crea subdirectorios para diferentes tipos de información.
Una vez que se han escaneado las rutas del navegador para recopilar información valiosa, el malware impone límites de tamaño a los archivos que copia para evitar ser detectado. Además, Angry Stealer es capaz de acceder a los archivos del usuario desde directorios clave como Escritorio y Documentos, centrándose en los documentos y datos personales que pueden ser de interés para los atacantes.
Además, puede determinar la dirección IP del sistema, la ubicación geográfica y los datos relacionados con la red, lo que proporciona a los atacantes información completa sobre el entorno de la víctima. Esta capacidad de recopilación de datos permite a los atacantes adaptar sus acciones posteriores en función de las características específicas del sistema infectado.
Para combatir eficazmente la amenaza que plantean Angry Stealer y otros programas maliciosos similares, las organizaciones deben implementar un enfoque de seguridad de múltiples capas. Las estrategias clave incluyen la implementación de Soluciones de seguridad para puntos finales capaz de detectar y bloquear actividades maliciosas asociadas con ladrones de información y garantizar que sistemas operativosLas aplicaciones y el software de seguridad se actualizan periódicamente para corregir vulnerabilidades que podrían ser explotadas.
Además, implementar la segmentación de la red puede ayudar a limitar el movimiento de malware dentro de la red, lo que reduce el riesgo de robo generalizado de datos. Las organizaciones también deben llevar a cabo programas integrales de capacitación de los empleados para generar conciencia sobre las amenazas de phishing y las prácticas seguras en línea. Por último, contar con un plan de respuesta a incidentes actualizado es fundamental para abordar rápidamente las posibles infecciones de malware, minimizar los daños y facilitar la recuperación de los sistemas afectados.
