Un nuevo malware de robo de credenciales denominado “123 | Stealer” ha surgido en foros subterráneos de delitos cibernéticos, comercializado por el actor de amenaza “Koneko” por $ 120 por mes.
Esta oferta de malware como servicio (MAAS) representa la última evolución en la tecnología de robador de información, que combina capacidades sofisticadas de exfiltración de datos con una interfaz administrativa fácil de usar.
Control de llave
1. “123 | Stealer” comercializado por $ 120/mes por el actor de amenaza “Koneko” en foros subterráneos.
2. C ++ codificado, sin DLL (~ 700kb), admite más de 70 extensiones del navegador, requiere servidores proxy autohostados.
3. Roba datos del navegador, contraseñas, billeteras criptográficas, cuentas de discordia y realiza el agarre de archivos/procesos.
4. Presentación profesional pero carece de revisiones cibercriminales, lo que hace que la efectividad sea incierta
El robador se dirige a una gama integral de datos confidenciales, lo que demuestra la creciente comercialización de las herramientas de delitos cibernéticos.
Según el anuncio del foro, el malware recolecta datos del navegador, cookies, contraseñas almacenadas, información de billetera de criptomonedas y extensiones del navegador.
El actor de amenazas afirma que el robador también puede realizar operaciones de captura de procesos y captación de archivos, por lo que es una herramienta versátil para las operaciones de robo de datos.
El actor de amenaza Koneko ofrece un robador de credenciales de $ 120/mes
123 | Stealer evita AV, se dirige a los navegadores y a las billeteras de criptografía
Según el informe de Kraken Labs, 123 | Stealer está escrito en C ++, una elección del lenguaje de programación que sugiere que los desarrolladores priorizaron el rendimiento y el acceso al sistema de bajo nivel.
El malware presenta una arquitectura de trozo sin DLL, que pesa aproximadamente 700 kb, lo que hace que sea más difícil detectar mediante soluciones antivirus tradicionales que se basan en métodos de detección de inyección de la biblioteca de enlaces dinámicos (DLL).
Un aspecto notable es el requisito del servidor proxy. Los usuarios deben establecer su propia infraestructura proxy utilizando servidores basados en Ubuntu o Debian, lo que indica una arquitectura sofisticada de comando y control (C2).
Atacando a los navegadores
Este enfoque permite a los operadores de malware mantener la seguridad operativa (OPSEC) al distribuir la carga de infraestructura a los clientes.
El panel administrativo revela un amplio soporte del navegador, incluida la compatibilidad con más de 70 extensiones del navegador.
El robador se dirige a los principales navegadores basados en el cromo como Google Chrome, Opera y Chromium, así como navegadores basados en gecko como las variantes de Firefox.
Las aplicaciones populares, incluidas Discord, Battle.net y varias billeteras de criptomonedas, también están dentro del alcance del malware.
Amenaza de nivel medio, cuesta $ 120 mensualmente
Las posiciones del modelo de suscripción mensual de $ 120 123 | Robador en el segmento de mercado de nivel medio de robadores de información.
Esta estrategia de precios se dirige tanto a los ciberdelincuentes novatos como a los actores de amenazas experimentados que buscan herramientas confiables de exfiltración de datos. El modelo de suscripción garantiza ingresos recurrentes para autores de malware al tiempo que proporciona actualizaciones y soporte continuos a los clientes.
El anuncio del foro enfatiza que los usuarios son responsables de cualquier evento de detección o fuerza mayor, lo que indica que los autores de malware intentan limitar su responsabilidad.
Además, el servicio prohíbe explícitamente operaciones en Rusia, países de la CEI y antiguas repúblicas soviéticas, una restricción común entre los servicios de delitos cibernéticos.
Actualmente, el malware no ha recibido revisiones públicas de otros cibercriminales en el foro, lo que hace que su efectividad real no sea verificada.
Sin embargo, la presentación profesional de la interfaz de inicio de sesión y el panel administrativo integral sugiere una inversión de desarrollo significativa, lo que indica que esto puede ser una amenaza grave en lugar de una operación de estafa.
Los investigadores y organizaciones de seguridad deben monitorear para 123 | Muestras de robador y firmas de detección de actualizaciones para proteger contra esta amenaza emergente.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
