El malware «Angry Stealer» se vende en plataformas de redes sociales. También se ofrece en aplicaciones de mensajería como Telegram. El malware renombrado permite abusar de la API de Telegram para robar datos.
Una versión renombrada de Rage Stealer se vende en línea
Identificado por el Equipo de investigación de CYFIRMAel malware Angry Stealer es esencialmente un «ladrón de información» paquete. Es preocupante observar que el malware parece haber sido comercializado.
Los actores de amenazas están anunciando la disponibilidad del malware en múltiples plataformas de redes sociales, incluida Telegram. Esto aumenta significativamente el número de atacantes potenciales y el alcance del malware.
#CYFIRMAinvestigación recientemente identificado un #goterobinario que despliega un #robodeinformación #malware conocido como #ladrónenfadadouna versión renombrada de #RageStealer anunciado en un #Telegrama canal.
Un análisis completo de Angry Stealer: Rage Stealer con un nuevo disfraz – CYFIRMA— Investigación CYFIRMA (@CyfirmaR) 26 de agosto de 2024
Ladrón enojado supuestamente apunta a una amplia gama de conjuntos de datos de información confidencial. Utiliza técnicas avanzadas y tácticas de cambio de marca. Su estrategia y procesos de ataque parecen similares a los del malware Rage Stealer.
Según el equipo de investigación de seguridad de CYFIRMA, Angry Stealer podría ser una versión renombrada del malware Rage Stealer. Esto se debe a que existen muchas similitudes en el código, características, funciones e incluso comportamiento.
¿Cómo roba datos el malware Angry Stealer?
Angry Stealer tiene dos componentes principales: “Stepasha.exe” y “MotherRussia.exe”. Los creadores han elaborado la carga útil utilizando .Net como un ejecutable Win32 de 32 bits.
Stepasha.exe intenta robar información confidencial como contraseñas, cookies, información de autocompletar, detalles de billetera de criptomonedas, información del sistema, credenciales de VPN, tokens de Discord y más. Estos datos robados luego se cargan en las API de Telegram utilizando credenciales de autenticación integradas. Este ejecutable incluso pasa por alto la validación SSL para garantizar una filtración de datos exitosa.
MotherRussia.exe, por otro lado, está diseñado para abrir nuevos caminos y atrapar a más víctimas. En otras palabras, este ejecutable puede generar malware personalizado. El equipo de investigación de seguridad sugiere que este programa podría abrir sesiones de Escritorio remoto para que se propaguen.
2024&08&23 ANGRY STEALER (variante de ladrón de ira) Telegram rat. Muestras https://t.co/P9WNXf8oei
– cybrmonk (@cybr_monk) 2 de septiembre de 2024
En general, después de una infección exitosa, Angry Stealer comienza una investigación sistemática y exhaustiva. recopilación de datos sensibles. parece ser persiguiendo navegadores web populares. Esto podría deberse a que los navegadores se han convertido en un lugar preferido para almacenar contraseñas y credenciales de inicio de sesión para múltiples servicios en línea.
El equipo de investigación ha observado que el malware Angry Stealer ataca a varios navegadores simultáneamente. Intenta persistentemente extraer contraseñas, detalles de tarjetas de crédito, cookies, datos de autocompletar, marcadores, procesos en ejecución, capturas de pantalla y especificaciones del sistema.
El malware Angry Stealer toma precauciones para evadir la detección. Prioriza carpetas y documentos clave que pueden contener información confidencial. Además, el malware incluso recopila la dirección IP, la ubicación geográfica y los datos relacionados con la red de la víctima.
Para combatir este malware, los administradores de sistemas tendrían que adoptar un enfoque de seguridad de múltiples capas. Una segregación adecuada de las redes puede limitar el movimiento lateral del malware. El malware parece estar propagándose múltiples técnicasque implica en gran medida error humano, supervisión y negligencia. Por lo tanto, implementar programas de seguridad sólidos y mantenerlos actualizados es fundamental para combatir el malware Angry Stealer.
Fuente: Android authority