Ha surgido un nuevo robador de información basado en Python en el panorama de seguridad cibernética, lo que demuestra capacidades avanzadas para la exfiltración de datos a través de canales de discordia.
El malware, identificado como “robador de INF0S3C”, representa una evolución significativa en el ámbito de las herramientas de robo de datos, que combina técnicas tradicionales de reconocimiento del sistema con plataformas de comunicación modernas para evitar la detección y cosecha eficientemente información confidencial de los sistemas de Windows comprometidos.
El malware funciona como un captador integral diseñado para recopilar sistemáticamente identificadores de host, información de CPU, configuraciones de red y datos de usuario de máquinas infectadas.
INF0S3C STALER (Fuente – Cyfirma)
Tras la ejecución, invoca en silencio múltiples comandos de PowerShell a través del símbolo del sistema para reunir detalles extensos del sistema, creando un perfil detallado del entorno de la víctima.
El Stealer se dirige a una amplia gama de información confidencial que incluye cuentas de discordia, credenciales de navegador, cookies, historial de navegación, billeteras de criptomonedas, contraseñas de Wi-Fi y sesiones de plataformas de juego de servicios populares como Steam, Epic Games y Minecraft.
Investigadores de Cyfirma identificado que el malware demuestra técnicas sofisticadas de envases y ofuscaciones, utilizando la compresión UPX y la agrupación de Pyinstaller para evadir la detección.
El ejecutable de 6.8 MB mantiene un alto valor de entropía de 8.000, lo que indica un embalaje pesado que oscurece su verdadera funcionalidad de las herramientas de análisis estático.
Durante la ejecución, el malware crea directorios temporales dentro de la carpeta Windows % Temp %, organizando sistemáticamente los datos robados en subdirectorios categorizados como “credenciales”, “directorios” y “sistema” antes de la compilación en archivos protegidos con contraseña.
La innovación principal del robador se encuentra en su mecanismo de exfiltración automatizado a través de los canales de discordia, donde transmite datos recopilados como archivos de rar comprimidos etiquetados como “captador en blanco”.
Este enfoque aprovecha la infraestructura de comunicación legítima para combinar el tráfico malicioso con la actividad normal del usuario, reduciendo significativamente la probabilidad de detección por los sistemas de monitoreo de redes.
Mecanismos avanzados de persistencia y evasión
El robador INF0S3C emplea tácticas de persistencia sofisticadas que aseguran el compromiso del sistema a largo plazo.
El malware se copia en la carpeta de inicio de Windows, disfrazada de una extensión .SCR para aparecer como un archivo de pantalla de pantalla de pantalla.
Build.exe (fuente – cyfirma)
Esta técnica se implementa a través de la función PutInStartU (), que se dirige al directorio de inicio de todo el sistema:-
Def putinstartup () -> str: startupdir = “c: \\ programaData \\ Microsoft \\ Windows \\ Archivo de menú de inicio \\ programas \\ startup”, iSExecutable = Utility.gets““ () if isExeCutable: out = OS.Path.Join (startupDir, “{} .Scring” .Format (Utility.getRandomString (Invisible) OS.Makedirs (startupDir, exist_ok = true) intente: shutil.copy (archivo, fuera) excepto la excepción: no return no return out
El malware incorpora múltiples características anti-análisis que incluyen verificaciones anti-VM y la capacidad de bloquear los sitios web relacionados con los antivirus.
Puede realizar la autoselección después de la ejecución a través de una función de “fusión”, dejando trazas forenses mínimas.
Además, el robador incluye una característica de “trozo de bomba” diseñada para inflar artificialmente el tamaño del archivo, potencialmente sin pasar por alto las heurísticas de detección basadas en el tamaño empleadas por Security Solutions.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
