Investigadores de ciberseguridad han revelado detalles de una campaña de malware dirigida a desarrolladores de software con un nuevo ladrón de información llamado Evelyn Stealer al utilizar como arma el ecosistema de extensión Microsoft Visual Studio Code (VS Code).
«El malware está diseñado para filtrar información confidencial, incluidas las credenciales de los desarrolladores y los datos relacionados con las criptomonedas. Los entornos de desarrolladores comprometidos también pueden utilizarse como puntos de acceso a sistemas organizacionales más amplios», Trend Micro dicho en un análisis publicado el lunes.
La actividad está diseñada para destacar organizaciones con equipos de desarrollo de software que dependen de VS Code y extensiones de terceros, junto con aquellas con acceso a sistemas de producción, recursos en la nube o activos digitales, agregó.
Vale la pena señalar que los detalles de la campaña fueron documentado por primera vez por Koi Security el mes pasado, cuando surgieron detalles de tres extensiones de VS Code – BigBlack.bitcoin-black, BigBlack.codo-ai y BigBlack.mrbigblacktheme – que finalmente eliminaron una DLL de descarga maliciosa («Lightshot.dll») responsable de lanzar un comando oculto de PowerShell para buscar y ejecutar una carga útil de segunda etapa («runtime.exe»).
El ejecutable, por su parte, descifra e inyecta la carga principal del ladrón en un proceso legítimo de Windows («grpconv.exe») directamente en la memoria, lo que le permite recolectar datos confidenciales y exfiltrarlos a un servidor remoto («server09.mentality»).[.]nube») a través de FTP en forma de archivo ZIP. Parte de la información recopilada por el malware incluye:
- Contenido del portapapeles
- Aplicaciones instaladas
- Carteras de criptomonedas
- Procesos en ejecución
- Capturas de pantalla de escritorio
- Credenciales Wi-Fi almacenadas
- Información del sistema
- Credenciales y cookies almacenadas de Google Chrome y Microsoft Edge
Además, implementa medidas de seguridad para detectar análisis y entornos virtuales y toma medidas para finalizar los procesos activos del navegador para garantizar un proceso de recopilación de datos fluido y evitar cualquier posible interferencia al intentar extraer cookies y credenciales.
Esto se logra iniciando el navegador a través de la línea de comando configurando los siguientes indicadores para detección y seguimiento forense:
- –headless=nuevo, para ejecutar en modo sin cabeza
- –disable-gpu, para evitar la aceleración de la GPU
- –no-sandbox, para deshabilitar el entorno limitado de seguridad del navegador
- –disable-extensions, para evitar que extensiones de seguridad legítimas interfieran
- –disable-logging, para deshabilitar la generación de registros del navegador
- –silent-launch, para suprimir las notificaciones de inicio
- –no-first-run, para omitir los cuadros de diálogo de configuración inicial
- –disable-popup-blocking, para garantizar que se pueda ejecutar contenido malicioso
- –window-position=-10000,-10000, para colocar la ventana fuera de la pantalla
- –window-size=1,1, para minimizar la ventana a 1×1 píxel
«El [DLL] El descargador crea un objeto de exclusión mutua (mutex) para garantizar que solo se pueda ejecutar una instancia del malware en un momento dado, asegurando que no se puedan ejecutar múltiples instancias del malware en un host comprometido», dijo Trend Micro. «La campaña Evelyn Stealer refleja la puesta en práctica de ataques contra comunidades de desarrolladores, que son vistas como objetivos de alto valor dado su importante papel en el ecosistema de desarrollo de software».
La divulgación coincide con la aparición de dos nuevas familias de malware ladrón basado en Python denominadas MonetaStealer y SolyxInmortaly el primero también es capaz de apuntar a sistemas Apple macOS para permitir un robo de datos integral.
«[SolyxImmortal] aprovecha las API legítimas del sistema y bibliotecas de terceros ampliamente disponibles para extraer datos confidenciales del usuario y exfiltrarlos a webhooks de Discord controlados por atacantes», dijo CYFIRMA.
«Su diseño enfatiza el sigilo, la confiabilidad y el acceso a largo plazo en lugar de una ejecución rápida o un comportamiento destructivo. Al operar completamente en el espacio del usuario y confiar en plataformas confiables para el comando y control, el malware reduce su probabilidad de detección inmediata mientras mantiene una visibilidad persistente de la actividad del usuario.
Fuente