PureLogs Infostealer: Desenmascarando la Campaña Global de Exfiltración de Credenciales vía Esteganografía

Blog Noticias generales Todos los autores Todas las etiquetas
Lo sentimos, el contenido de esta página no está disponible en el idioma seleccionado
Alex Vance

PureLogs Infostealer: Desenmascarando la Campaña Global de Exfiltración de Credenciales vía Esteganografía

El panorama de la ciberseguridad está en constante evolución, con actores de amenazas desplegando técnicas cada vez más sofisticadas para lograr sus objetivos. Una campaña reciente, destacada por investigadores de Fortinet, revela la potente combinación de ingeniería social, esteganografía y un robusto ladrón de información conocido como PureLogs. Este ataque de múltiples etapas se dirige específicamente a máquinas Windows, demostrando una amenaza significativa para la integridad de los datos organizacionales y personales en todo el mundo.

La Compromisión Inicial: Phishing Engañoso y Señuelos de Archivo

La cadena de ataque comienza con correos electrónicos de phishing altamente efectivos. Estos mensajes están meticulosamente elaborados, a menudo utilizando señuelos con temática de factura para crear un sentido de urgencia y obligar a los destinatarios a actuar sin la debida diligencia. El objetivo es eludir las capas iniciales de seguridad del correo electrónico y convencer a la víctima de abrir un archivo TXZ adjunto. TXZ, un archivo tar comprimido, se elige probablemente por su detección menos común por algunas soluciones de pasarela de correo electrónico en comparación con formatos más ubicuos como ZIP o RAR.

Tras la extracción, el archivo TXZ revela un archivo JavaScript malicioso. Este script no es inmediatamente destructivo, pero actúa como un orquestador crucial para las etapas posteriores del ataque. Su función principal es preparar el entorno para la entrega de la carga útil colocando estratégicamente comandos maliciosos dentro de las variables de entorno del proceso. Esta técnica permite al actor de la amenaza ejecutar comandos sin escribirlos directamente en el disco de manera persistente, lo que dificulta la detección y el análisis forense.

Entrega de Carga Útil Sofisticada: Esteganografía en Fotos de Gatos

Uno de los aspectos más notables de esta campaña es su uso innovador de la esteganografía para ocultar la carga útil del infostealer PureLogs. En lugar de incrustar el ejecutable malicioso directamente, los actores de la amenaza cifran el binario de PureLogs y lo incrustan dentro de archivos de imagen aparentemente inofensivos, específicamente 'fotos de gatos'.

  • Técnica de Evasión: Ocultar código malicioso dentro de archivos de imagen de apariencia legítima ayuda a evadir los mecanismos de detección tradicionales basados en firmas y los filtros de contenido que podrían marcar ejecutables sospechosos.
  • Descifrado Multi-etapa: El JavaScript, una vez establecido, es responsable de extraer y descifrar la carga útil oculta de estas imágenes. Este proceso generalmente implica leer datos de píxeles específicos o metadatos para reconstruir el binario cifrado.
  • Ejecución en Memoria: Después del descifrado, el infostealer PureLogs a menudo se carga directamente en la memoria y se ejecuta, minimizando aún más su huella en el disco y complicando la recopilación de artefactos forenses.

Capacidades de PureLogs: Exfiltración Integral de Datos

Una vez ejecutado, PureLogs demuestra ser un ladrón de información altamente capaz y agresivo. Su objetivo principal es recolectar sistemáticamente datos sensibles de la máquina Windows comprometida, centrándose en credenciales y otra información de alto valor. El alcance de sus capacidades de exfiltración de datos es extenso:

  • Datos del Navegador: Roba credenciales de inicio de sesión, cookies, datos de autocompletado e historial de navegación de una amplia gama de navegadores web (por ejemplo, Chrome, Firefox, Edge, Brave, Opera).
  • Monederos de Criptomonedas: Se dirige a varias aplicaciones de monedero de criptomonedas de escritorio, con el objetivo de exfiltrar claves privadas y frases semilla.
  • Información del Sistema: Recopila configuraciones detalladas del sistema, software instalado, procesos en ejecución, direcciones IP y ubicación geográfica.
  • Exfiltración de Archivos: Puede configurarse para buscar y exfiltrar tipos de archivos específicos o archivos de directorios designados.
  • Captura de Pantalla: Potencialmente captura pantallas del escritorio de la víctima, proporcionando información visual sobre sus actividades.
  • Credenciales de Cliente FTP: Recopila credenciales de clientes FTP populares, abriendo vías para una mayor compromiso de la red.

Los datos exfiltrados se comprimen y se envían a un servidor de Comando y Control (C2), a menudo disfrazados como tráfico de red legítimo para mezclarse y evitar la detección por soluciones de monitoreo de red.

Impacto Global y Atribución de Actores de Amenazas

El alcance global de esta campaña de PureLogs subraya la amenaza persistente que representan los infostealers sofisticados. Las credenciales robadas pueden utilizarse para diversos fines maliciosos, incluyendo:

  • Fraude Financiero: Acceso directo a cuentas bancarias, de comercio electrónico y de criptomonedas.
  • Tomas de Control de Cuentas: Compromiso de cuentas de correo electrónico, redes sociales y servicios en la nube.
  • Espionaje Corporativo: Obtención de acceso no autorizado a redes internas y datos corporativos sensibles.
  • Compromiso Adicional: Las credenciales robadas pueden facilitar el movimiento lateral dentro de las redes o servir como acceso inicial para operadores de ransomware.

Atribuir estas campañas a actores de amenazas específicos es una tarea compleja, que a menudo se basa en una combinación de indicadores técnicos de compromiso (IOCs), tácticas, técnicas y procedimientos (TTPs) únicos, y análisis geopolítico. El uso de la esteganografía y las variables de entorno sugiere un mayor nivel de seguridad operativa y sofisticación.

Estrategias Defensivas y Respuesta a Incidentes

Mitigar la amenaza planteada por PureLogs y otros infostealers similares requiere una estrategia de defensa multicapa:

  • Educación del Usuario: Capacitación continua sobre la concienciación sobre el phishing, enfatizando los peligros de abrir archivos adjuntos sospechosos, especialmente aquellos con temas urgentes o inusuales.
  • Seguridad del Correo Electrónico: Soluciones robustas de pasarela de correo electrónico con protección avanzada contra amenazas, sandboxing y capacidades de análisis de archivos adjuntos para detectar y bloquear archivos y scripts maliciosos.
  • Detección y Respuesta en el Punto Final (EDR): Despliegue de soluciones EDR capaces de análisis de comportamiento, monitoreo de procesos y forensia de memoria para detectar actividad anómala, como la ejecución de scripts desde variables de entorno o la exfiltración de datos sospechosos.
  • Monitoreo de Red: Implementación de sistemas de detección/prevención de intrusiones en la red (NIDS/NIPS) y soluciones de gestión de eventos e información de seguridad (SIEM) para monitorear comunicaciones C2 sospechosas y la salida de datos.
  • Gestión de Parches: Asegurarse de que todos los sistemas operativos y aplicaciones estén regularmente parcheados para cerrar vulnerabilidades conocidas que podrían ser explotadas por etapas de ataque posteriores.
  • Autenticación Multifactor (MFA): La aplicación de MFA en todas las cuentas críticas reduce significativamente el impacto de las credenciales robadas.
  • Copias de Seguridad Regulares: Implementación de una estrategia robusta de copia de seguridad y recuperación para datos críticos.

Para los respondedores a incidentes que investigan enlaces sospechosos o intentan mapear la infraestructura del adversario, herramientas como grabify.org pueden ser instrumentales. Al generar una URL de seguimiento, los profesionales de la seguridad pueden recopilar telemetría avanzada como direcciones IP, cadenas de Agente de Usuario, detalles del ISP y huellas digitales de dispositivos cuando se hace clic en un enlace. Esta información recopilada pasivamente es crucial para la forensia digital, el reconocimiento de red y, en última instancia, la atribución del actor de la amenaza, proporcionando puntos de datos valiosos para rastrear el origen de un ataque o identificar sistemas comprometidos para un análisis y remediación adicionales.

Conclusión

La campaña del infostealer PureLogs sirve como un duro recordatorio de la naturaleza persistente y evolutiva de las ciberamenazas. Su hábil uso de la esteganografía para ocultar cargas útiles dentro de imágenes de apariencia benigna, combinado con la ingeniería social y la manipulación de variables de entorno, ejemplifica las TTP avanzadas empleadas por los adversarios modernos. Una postura de ciberseguridad proactiva y completa, que abarque tecnología, procesos y concienciación del usuario, es primordial para defenderse contra operaciones tan sofisticadas de exfiltración global de credenciales.

purelogsinfostealersteganographyphishingcredential-theftcybersecurity