Investigadores de ciberseguridad han revelado detalles de una campaña de malware dirigida a desarrolladores de software con una nueva herramienta de robo de información llamada Evelyn Stealer, armada con el ecosistema de extensión Microsoft Visual Studio Code (VS Code).
«Este malware está diseñado para filtrar información confidencial, como credenciales de desarrollador y datos relacionados con criptomonedas. Un entorno de desarrollador comprometido también puede explotarse como punto de acceso a sistemas organizacionales más amplios», dijo Trend Micro en un análisis publicado el lunes.
El esfuerzo tiene como objetivo destacar a las organizaciones con equipos de desarrollo de software que dependen de VS Code y extensiones de terceros, así como aquellas con acceso a sistemas de producción, recursos en la nube o activos digitales, agregó.
En particular, Koi Security documentó por primera vez los detalles de la campaña el mes pasado, cuando se revelaron detalles de tres extensiones de VS Code: BigBlack.bitcoin-black, BigBlack.codo-ai y BigBlack.mrbigblacktheme. La extensión finalmente eliminó una DLL de descarga maliciosa (‘Lightshot.dll’) que lanzaba un comando oculto de PowerShell para recuperar y ejecutar la carga útil de la segunda etapa (‘runtime.exe’).
Este ejecutable descifra la carga principal del ladrón y la inyecta directamente en un proceso legítimo de Windows (‘grpconv.exe’) en la memoria. Esto permite recopilar y filtrar datos confidenciales a través de FTP en forma de un archivo ZIP a un servidor remoto (‘server09.mentality(.)cloud’). La información recopilada por el malware incluye:
Contenido del portapapeles Aplicaciones instaladas Carteras de criptomonedas Procesos en ejecución Capturas de pantalla del escritorio Credenciales de Wi-Fi guardadas Información del sistema Credenciales y cookies guardadas de Google Chrome y Microsoft Edge
Además, implementamos medidas de seguridad para detectar entornos analíticos y virtuales y tomamos medidas para finalizar los procesos activos del navegador para garantizar un proceso de recopilación de datos fluido y evitar posibles interferencias al intentar extraer cookies o credenciales.
Esto se logra configurando los siguientes indicadores para detección y rastreo forense e iniciando el navegador a través de la línea de comando:
–headless=nuevo, ejecutar en modo sin cabeza –disable-gpu, previene la aceleración de la GPU –sin sandbox, deshabilita el sandbox de seguridad del navegador –disable-extensions, evita la interferencia de extensiones de seguridad legítimas –disable-logging, deshabilita la generación de registros del navegador –silent-launch, suprime las notificaciones de inicio –sin primera ejecución, omite el diálogo de configuración inicial –disable-popup-blocking, permite que se ejecute contenido malicioso –window-position=-10000,-10000, posición de la ventana fuera de la pantalla –window-size=1,1, minimizar la ventana a 1×1 píxeles
«El descargador (DLL) crea un objeto de exclusión mutua (mutex) para garantizar que solo se ejecute una instancia del malware en cualquier momento y evita que se ejecuten múltiples instancias del malware en un host comprometido», dijo Trend Micro. «La campaña Evelyn Stealer refleja la puesta en práctica de ataques contra la comunidad de desarrolladores, que se considera un objetivo de alto valor dado su importante papel en el ecosistema de desarrollo de software».
Esta divulgación coincide con la aparición de dos nuevas familias de malware ladrón basado en Python llamadas MonetaStealer y SolyxImmortal, la primera de las cuales también tiene la capacidad de apuntar a sistemas Apple macOS y permitir el robo de datos integral.
«[SolyxImmortal]aprovecha las API legítimas del sistema y las bibliotecas de terceros ampliamente disponibles para extraer y filtrar datos confidenciales del usuario a webhooks de Discord controlados por atacantes», dijo CYFIRMA.
«Su diseño enfatiza el sigilo, la confiabilidad y el acceso a largo plazo en lugar de una ejecución rápida o un comportamiento destructivo. El malware opera completamente en el espacio del usuario y se basa en una plataforma confiable para el comando y control, lo que reduce la probabilidad de detección inmediata y al mismo tiempo mantiene una visibilidad persistente de la actividad del usuario.
Source link
