El infostealer DarkCloud de $30 recolecta credenciales de navegadores y software empresarial en silencio
El código obsoleto de Visual Basic está ayudando inesperadamente al malware a evadir algunas herramientas de detección modernas.
Las herramientas baratas para robar credenciales están impulsando cada vez más los compromisos iniciales de redes corporativas.
Las herramientas de malware de bajo costo son cada vez más disponibles en la web oscura, ofreciendo capacidades de robo de credenciales a personas con conocimientos técnicos limitados.
Investigadores de seguridad de Flashpoint analizaron recientemente una variante de malware conocida como DarkCloud, que ha circulado en canales de Telegram y tiendas públicas desde aproximadamente 2022.
Disponible por aproximadamente $30 (menos que el precio de muchos juegos de consola), la herramienta realiza una recolección de credenciales a gran escala. La información robada puede incluir inicios de sesión de navegadores, cookies, datos financieros e información de contactos de aplicaciones de correo electrónico.
El artículo continúa abajo.
Te puede interesar
Infostealers baratos reducen la barrera de entrada al cibercrimen
DarkCloud se anuncia como software de vigilancia en sus listados públicos, aunque su funcionalidad interna se centra en extraer credenciales y datos sensibles de las máquinas infectadas.
Los investigadores dicen que este tipo de infostealer se ha convertido en un punto de entrada frecuente en redes corporativas, donde las credenciales comprometidas a menudo conducen a intrusiones más profundas.
Un aspecto inusual de DarkCloud es su uso del entorno de programación obsoleto Visual Basic 6.0, ya que la carga útil del malware está escrita en este lenguaje antiguo antes de ser compilada en un ejecutable nativo.
Visual Basic 6.0 depende de componentes de tiempo de ejecución antiguos que aún funcionan en sistemas Windows modernos. Según los analistas de Flashpoint, esta elección de diseño puede reducir las tasas de detección en algunas herramientas de seguridad, porque muchos sistemas se centran en frameworks de desarrollo más modernos.
El malware también utiliza múltiples capas de cifrado y ofuscación de cadenas, complicando la ingeniería inversa y el análisis estático.
Las cadenas internas permanecen cifradas hasta el momento de la ejecución, donde un generador pseudoaleatorio las reconstruye mediante procesos deterministas. Estas técnicas no dependen de criptografía novedosa, sino que explotan comportamientos predecibles dentro de entornos de programación heredados.
Qué leer a continuación
DarkCloud se concentra en recolectar credenciales y datos de aplicaciones de una amplia gama de software, extrayendo información de navegadores web, clientes de correo, programas de transferencia de archivos y varias herramientas de comunicación.
Los datos recolectados se almacenan localmente dentro de directorios creados en la ruta de plantillas de Windows. Un directorio contiene archivos de base de datos copiados, mientras que otro contiene información parseada escrita en formato de texto sin cifrar.
Este sistema de almacenamiento permite al malware ensamblar registros estructurados antes de transmitirlos externamente.
La herramienta admite varios métodos para transmitir la información robada. Estos incluyen transmisión por correo electrónico mediante SMTP, transferencia de archivos usando servidores FTP, comunicación a través de canales de Telegram y subidas directas por HTTP.
Debido a que las credenciales comprometidas a menudo permiten el movimiento lateral dentro de las redes, los atacantes pueden posteriormente desplegar ransomware, lanzar operaciones de phishing o mantener acceso persistente.
Incluso una protección de endpoint básica o un firewall configurado correctamente pueden tener dificultades para detectar la actividad si el malware usa protocolos legítimos.
Por lo tanto, los equipos de seguridad confían frecuentemente en controles por capas, incluyendo monitoreo de credenciales y procedimientos de respuesta a incidentes, junto con herramientas de eliminación de malware.
La continua circulación de infostealers económicos sugiere que el bajo costo de entrada, más que la sofisticación técnica, impulsa cada vez más los compromisos iniciales de las redes.
Sigue a TechRadar en Google News y añádenos como fuente preferida para obtener nuestras noticias, reseñas y opiniones expertas en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y, por supuesto, también puedes seguir a TechRadar en TikTok para noticias, reseñas y unboxings en formato de video, y obtener actualizaciones nuestras en WhatsApp.