Un Stealer es un troyano que permite a un atacante conocer todo sobre tu vida… Los Stealers más comunes recopilan información de inicio de sesión, como nombres de usuario y contraseñas, para luego enviarla a otro sistema por correo electrónico o a través de una red. Otros Stealers, llamados keyloggers, registran las pulsaciones de teclas de los usuarios que pueden revelar información confidencial; actualmente, uno de los más famosos es “RedLine Stealer”.

A través de muestras de logs provenientes del malware “RedLine Stealer”, el equipo de ciberinteligencia de SCILabs ha realizado pruebas de concepto sobre el nivel de detalle que un ciberactor malintencionado puede tener sobre una víctima.

Inicialmente, al adquirir un paquete de logs se encuentran algunos archivos de texto. Entre la información resalta usuarios y contraseñas de distintos sitios a los que la víctima ingresó, como Facebook, Gmail o portales empresariales, algunos de los cuales cuentan con cookies. Así mismo, se observa información sobre el software instalado, incluyendo el de seguridad, información general de los usuarios de la máquina comprometida y algunos “autofills” que son capturados cuando la víctima llena algún formulario.

En las muestras analizadas por SCILabs, se pudo realizar un perfilamiento sobre un empleado de una empresa de telecomunicaciones en México, su esposa y sus hijos, destacando información personal: nombre completo, RFC, CURP, NSS, hasta el color de la fachada de su domicilio. Por otro lado, se pudieron observar correos electrónicos personales y de trabajo con sus respectivas cookies y contraseñas, además de usuarios y contraseñas de las redes sociales de la familia. También, la información permitió conocer la dirección de trabajo del padre y la madre, y la dirección de la escuela de sus hijos. En cuanto a la información de la empresa, fue posible observar acceso a sistemas internos, así como credenciales de VPN. En información menos relevante se observaron las series de entretenimiento, videojuegos y consultas generales en motores de búsqueda.

Es importante que las empresas generen campañas de concientización sobre los riesgos de utilizar cuentas corporativas en dispositivos personales o viceversa. Las principales vías de entrega de este malware son: correo electrónico, sitios maliciosos que ofrecen películas o videojuegos gratuitos y sitios que ofrecen software “crackeado”; por lo que es altamente relevante que empleados y usuarios en general eviten este tipo de prácticas.

Fuentes:
•  Investigación realizada por el equipo de ciberinteligencia de SCILabs.
– Muestras obtenidas del mercado negro RussianMarket.
•  https://www.trendmicro.com/vinfo/us/security/definition/stealer