¿Qué Son los Infostealers?

Un infostealer es una pieza de software malicioso (malware) que intenta robar su información. El malware más complejo, como los troyanos bancarios (por ejemplo, TrickBot) y el stalkerware, suelen incluir componentes de infostealer.

En la mayoría de los casos, esto significa robar información que puede hacer dinero para los delincuentes cibernéticos.

Aquí hay algunas cosas que los delincuentes pueden robar y convertir en dinero:

  • la información de su tarjeta bancaria se puede usar directamente o revender a otras personas que realicen compras con su tarjeta,
  • los inicios de sesión de su cuenta se pueden usar para robar sus compras anteriores (por ejemplo, sus compras en el juego de Fortnite o Animal Crossing) que se pueden revender,
  • los inicios de sesión de su cuenta pueden comprar cosas nuevas si guardó su tarjeta bancaria,
  • se pueden vender a sí mismos:
    • las cuentas a menudo se venden a granel a otros especialistas en delitos cibernéticos para que intenten monetizar,
    • algunas cuentas son valiosas individualmente, por ejemplo, cuentas de Instagram o Snapchat con manejadores buscados
  • potencialmente, las fotos y los documentos se pueden usar para chantajear o monetizar de otras maneras:
    • las empresas afectadas por el ransomware se enfrentan cada vez más a la posibilidad de que sus datos internos y su propiedad intelectual se publiquen en línea si no pagan
    • en 2014, un gran número de mujeres famosas recibieron fotos extremadamente privadas robadas de sus cuentas de iCloud y publicadas, algo que ha beneficiado significativamente a ciertos propietarios de sitios web pornográficos y tableros de mensajes poco éticos.

los Criminales son creativos y esto es grande, profesional, de negocios.

Ejemplo de troyano bancario

 Ejemplo de troyano bancario Android con capturas de pantalla paso a paso

Ejemplo de troyano bancario Android con capturas de pantalla paso a paso

Los ataques Infostealer pueden ser verdaderamente diabólicos.

Tomemos, por ejemplo, el funcionamiento de un troyano bancario Android que vimos propagarse en 2017.

El usuario recibe un SMS con un enlace para descargar una aplicación con videos divertidos. Cuando se instalan, se les pide que acepten los permisos para la aplicación. El usuario sin duda hace esto sin comprobarlo, porque de todos modos nadie entiende todos estos permisos.

La aplicación tiene algunos “videos divertidos” reales dentro.

Aún así, su trabajo real es esperar a que abra su aplicación bancaria. Cuando te ve hacer esto, busca en su biblioteca de aplicaciones bancarias y usa el permiso que le diste para dibujar en la parte superior de la pantalla de inicio de sesión de tu aplicación bancaria con una copia exacta falsa de la pantalla de inicio de sesión.

Ingresa sus datos de inicio de sesión y se roba su nombre de usuario y contraseña. Al mismo tiempo, te registra en la aplicación real que está oculta detrás de la pantalla de inicio de sesión falsa idéntica, para que todo te parezca normal.

Ahora el troyano espera a que termines con tu banco. Luego, inicia sesión en su banco de nuevo sin su ayuda e intenta transferir su dinero.

Cuando esto sucede, el banco te envía un código SMS para confirmar el pago: la aplicación captura el código con otro permiso que le diste en el momento de la instalación e incluso elimina el mensaje SMS para que no sepas que pasó nada.

¡Diabólico!

No solo por Dinero

Mientras que el dinero es, con mucho, la razón más común para los ataques de infostealer, no es la única razón.

Al igual que con iCloud y muchos casos similares, la información sobre las personas más vulnerables de nuestras sociedades (mujeres, niños, personas LGBTQIA+, personas de color y otras) está dirigida específicamente a quienes buscan explotar a esas personas o causarles violencia.

Sabemos que hay compañías “legales” desvergonzadas que venden acosadores, comercializándolos específicamente a abusadores domésticos, padres abusivos y acosadores para poder espiar y controlar a sus objetivos. Esta es la razón por la que F-Secure es parte de la Coalición de toda la industria contra el Stalkerware. El stalkerware generalmente son troyanos ocultos, que incluyen una gran parte de la tecnología infostealer: robar las fotos de un objetivo, el historial de llamadas, el historial de chat, el historial de ubicaciones y más.

Los Infostealers también se usan como parte del acoso cibernético, donde el acceso a las cuentas de un objetivo se puede usar para publicar contenido embarazoso, eliminar amigos, eliminar acceso o como parte de una campaña general de iluminación de gas.

Los gobiernos perpetran ataques más dirigidos con infostealers contra activistas, periodistas y políticos de la oposición, de nuevo con la ayuda de empresas “legales” desvergonzadas que venden este malware sabiendo cómo se usará.

El infame asesinato del periodista Jamal Khashoggi en 2018, por ejemplo, se cree que involucró tecnologías de infostealer utilizadas contra sus colegas, lo que llevó al asesinato de una de sus fuentes, y que potencialmente se usó para conocer su horario de antemano para planificar su asesinato.

Además, a principios de 2020, nos enteramos de que se estaba utilizando un software similar contra la persona más rica del mundo, Jeff Bezos, probablemente debido a los informes del periódico The Washington Post que posee.

¿Qué Tan Comunes Son Los Infostealers?

Según los datos de F-Secure que se acaban de publicar en nuestro Informe de Panorama de ataques H1 2020, los infostealers ahora dominan las 20 principales amenazas de malware a las que se enfrentan los usuarios.

Si incluye troyanos y ratas (Troyanos de acceso remoto) que también contienen elementos de infostealer, el malware que roba su información constituye 18 de las 20 principales amenazas de las que F-Secure ha tenido que proteger a nuestros usuarios.

 Las 20 amenazas principales vistas por F-Secure en H1 2020

Las 20 amenazas principales vistas por F-Secure en H1 2020

Los Infostealers también dominan el correo electrónico no deseado que reciben nuestros usuarios, con el 75% de los archivos adjuntos de correo electrónico con temas de coronavirus que vimos distribuyendo Lokibot o Formbook, infostealers que se encontraron entregados en el 38% y el 37% de los archivos adjuntos de COVID, respectivamente.

 Ejemplo de un correo electrónico spam del mundo real, que pretende ser de un banco importante, utilizado para distribuir el Lokibot infostealer / troyano.

Ejemplo de un correo electrónico spam del mundo real, que pretende ser de un banco importante, utilizado para distribuir el Lokibot infostealer / troyano.

En el último mes en Finlandia, 131 de cada 10 mil usuarios tuvieron un infostealer o un intento de infección de troyanos bloqueado por nuestro software, el 64% de todas las amenazas enfrentadas.

 Las 10 principales amenazas detectadas por el software de Protección de Punto Final de F-Secure en Finlandia en el último Mes (2020-Sep)

Las 10 principales amenazas detectadas por el software de Protección de punto Final de F-Secure en Finlandia en el último Mes (2020-Sep)

Amenazas detectadas por el software de Protección de Punto Final de F-Secure en Finlandia en el último Mes (2020-Sep) dividido por tipo de amenaza

Amenazas detectadas por el software de Protección de Punto Final de F-Secure en Finlandia en el último mes (2020-Sep) dividido por tipo de amenaza

En Suecia, 149 de cada 10K usuarios tenían un infostealer o troyano intento de infección bloqueado por nuestro software, o el 47% de todas las amenazas enfrentadas.

 Las 10 principales amenazas detectadas por el software de Protección de Punto Final de F-Secure en Suecia en el último Mes (2020-Sep)

Las 10 principales amenazas detectadas por el software de Protección de punto Final de F-Secure en Suecia en el Último Mes (2020-Sep)

Amenazas detectadas por el software de Protección de Puntos Finales de F-Secure en Suecia en el último Mes (2020-Sep) divididas por tipo de amenaza

Amenazas detectadas por el software de Protección de Puntos Finales de F-Secure en Suecia en el último mes (2020-Sep) divididas por tipo de amenaza

La gran mayoría de todas las infecciones de malware, incluidos los infostealers, se producen a través de correos electrónicos no deseados.

La infección se produce a través de un archivo adjunto al correo electrónico o de un sitio web malicioso vinculado en el correo electrónico.

Para los sitios web, en los últimos años, la mayoría de las infecciones provienen de engañarlo para que descargue e instale software manualmente desde el sitio. Todavía vemos una minoría de casos en los que la infección directa ocurre sin su ayuda a través de “kits de exploits”.

Las mismas técnicas que se utilizan en el correo electrónico no deseado para engañar a las personas para que instalen y hagan clic también se utilizan a través de SMS, Whatsapp, Facebook Messenger e incluso a través de llamadas telefónicas.

De nuevo, los delincuentes son creativos y persistentes. Solo necesitan unas pocas personas para hacer clic para que toda su campaña sea rentable.

En la mayoría de los casos, usted no es específicamente el objetivo, sino que los delincuentes envían su cebo a miles o millones de personas y esperan que algunas personas hagan clic y hagan el día del criminal.

Hay algunas formas comunes de que los delincuentes (y los anunciantes!) usa para intentar que nos apaguemos los sesos y simplemente hagamos clic.

Estas son cosas que deberían hacerte hacer una pausa y caminar con cautela cuando las veas:

  • “Gratis” – solo esa palabra es suficiente en muchos casos para obtener una venta. ¡Cuidado con el comprador!
  • Del mismo modo, cualquier cosa que sea “demasiado buena para ser verdad”, ¿realmente acabas de ganar un viaje con todos los gastos pagados alrededor del mundo? ¿De verdad recibiste una lista de todos los salarios de tus jefes por error? Probablemente no.
  • Urgencia – “date prisa, date prisa, solo quedan cinco minutos” – si alguien está tratando de hacerte acelerar, ese es un muy buen momento para reducir la velocidad y mirar con cuidado.
  • Conocimiento interno: saben tu cumpleaños, el nombre de tu jefe y a dónde fuiste a la escuela, debe ser real. Excepto que toda esa información está fácilmente disponible en línea. No les des información adicional antes de asegurarte de que son quienes dicen ser.
  • Autoridad: ya sea que el FBI lo “atrape” haciendo algo malo en su computadora, o que su jefe le diga que se apresure y transfiera un millón de dólares para un acuerdo súper secreto, recuerde que es muy fácil fingir ser otra persona a través de correo electrónico, texto u otras aplicaciones.

En todos estos casos, considere buscar el número de teléfono real o la dirección de correo electrónico de esa persona u organización en el directorio interno de su empresa o en el sitio web oficial de su gobierno/banco y vuelva a llamar para verificar antes de tomar una acción.

Aquí hay algunos ejemplos más de trucos utilizados en la novela reciente spam relacionado con coronavirus.

¿Cómo Puedo Mantenerme Seguro?

La forma principal de protegerse contra los distribuidores de información es instalar un buen software antimalware en sus dispositivos. El software antimalware lo protege de tres maneras principales.

La primera forma es detener directamente el software infostealer que intenta instalar o ejecutar en su dispositivo. Puede detener un infostealer tanto reconociendo el software defectuoso directamente (las llamadas” firmas”) como reconociendo su comportamiento (la llamada detección de” próxima generación”).

La segunda forma es dejar de visitar los sitios web maliciosos que son la fuente de muchas de estas infecciones, en otras palabras, “protección de navegación”.

Y la tercera vía es específica para la banca y las compras en línea, donde un buen software antimalware activará protecciones adicionales cuando se conecte al sitio web de su banco para confirmarle que no es falso, y también para evitar que otras aplicaciones y pestañas del navegador hagan cualquier cosa que interfiera con su conexión.

Por supuesto, nada te dará protección al 100%, y no todos los ataques a tus cuentas y tu información vienen a través de malware.

Por esta razón, una de las mejores cosas que la mayoría de las personas pueden hacer para mejorar su seguridad es comenzar a usar un administrador de contraseñas.

Un administrador de contraseñas le permite no preocuparse incluso cuando sus datos de un servicio están expuestos, porque su contraseña es difícil de descifrar, e incluso cuando se rompe, solo dará a los delincuentes acceso a una cuenta, no a todas sus cuentas.

No solo eso, un administrador de contraseñas es probablemente más fácil que cualquier cosa que hagas con tus contraseñas hoy, gracias al fácil autocompletar en todos tus dispositivos y nunca tener que usar “olvidé mi contraseña”.

 Mantenga La Calma Y Use Una etiqueta Para computadora portátil Con Administrador De Contraseñas

Mantenga La Calma Y Use Una etiqueta para computadora portátil con Administrador De Contraseñas

Por supuesto, en F-Secure, ¡somos un poco sesgados! 😀 Si lo desea, puede obtener nuestra solución antimalware multidispositivo y nuestro gestor de contraseñas aquí. Además, ese paquete incluye nuestra solución de protección de identificación, que le alertará si nuestros escáneres web oscuros / profundos y los equipos de inteligencia humana encuentran sus datos en brechas en línea, y el paquete también incluye nuestra galardonada solución VPN.

Una vez que esté utilizando un administrador de contraseñas, y con suerte uno que le notifique cada vez que se haya detectado una violación de sus datos en línea, el siguiente paso es activar la autenticación de 2 factores (2FA) o multifactor (MFA) en tantas cuentas como sea posible.

MFA ayuda a protegerlo incluso si su contraseña es robada, ya que el atacante aún necesitará obtener su token, además de su contraseña, para poder acceder a su información.

¿Recuerdas el troyano bancario Android de arriba? Por eso quería permiso para leer tus sms.

Cuando encienda MFA, configure MFA con una aplicación de contraseña de un solo uso (OTP) en su teléfono (por ejemplo, FreeOTP) o con un generador de OTP físico como un Yubikey, en lugar de usar SMS con su número de teléfono.

Las aplicaciones OTP y las claves físicas son incluso más seguras que los SMS en los casos en los que se le apunta personalmente, porque los llamados ataques de “intercambio de SIM” no son posibles. Si estas opciones no están disponibles, por favor, active la MFA basada en SMS en sus cuentas.

¡Cualquier MFA es mejor que ningún MFA!

La Última Línea De Defensa Es Usted

Por supuesto, todas estas protecciones aún se pueden omitir si le da su contraseña y el token al atacante, ya sea por error o porque está obligado.

Los errores ocurren, especialmente cuando estamos ocupados, cansados y estresados. Sin embargo, nunca hay una buena razón para darle a alguien su token de MFA; intente recordar esto, y si en un momento de debilidad siente que comienza a aceptar hacerlo, con suerte disminuirá la velocidad y se detendrá.

Si se encuentra en una situación en la que se le está obligando a dar acceso a sus cuentas e información, hay ayuda disponible. Algunos ejemplos son la Operación Escape seguro y el Refugio Le. Si esto se aplica a usted, tenga cuidado, siempre que sea posible y seguro para usted, de acceder a estos recursos solo en momentos, lugares y dispositivos que su abusador no conoce, por ejemplo, en una biblioteca pública.

Si está siendo chantajeado o acosado con información robada sin consentimiento, organizaciones como la Iniciativa de Derechos Civiles Cibernéticos y bufetes de abogados especializados en derechos de las víctimas, como C. A. Goldberg, pueden ayudarlo a recuperar el control.

Si eres activista o periodista y crees que puedes ser el blanco de los infostealers patrocinados por el estado, organizaciones como Citizen Lab pueden ayudarte o orientarte hacia expertos locales de confianza.

Leave a Reply