Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA FAMILIA DE MALWARE DENOMINADA NS-STEALER

24/04/2024

NUEVA FAMILIA DE MALWARE DENOMINADA NS-STEALER
El equipo del Csirt Financiero ha identificado un nuevo Stealer basado en Java, conocido como NS-Stealer, durante sus actividades de monitoreo en diversas fuentes de información. Este Stealer utiliza un bot de Discord para extraer información confidencial de sistemas comprometidos y se propaga a través de archivos ZIP que simulan ser software legítimo.

Descripción

Al ejecutarse, NS-Stealer genera una carpeta específica para almacenar datos exfiltrados, tales como capturas de pantalla, cookies, credenciales de navegadores y tokens de Discord. La transmisión de la información capturada se realiza mediante un canal de bot de Discord. NS-Stealer demuestra ser compatible con varios navegadores, como Chrome, Edge y Opera. Puede extraer cookies utilizando consultas al controlador JDBC, descifrar contraseñas cifradas mediante la API "Crypt32Util.cryptUnprotectData" y buscar tokens de Discord específicamente en la base de datos "\User Data\Default\Local Storage\leveldb", donde se almacenan los tokens de sesión.

Esta actividad coincide con la actualización del malware Chaes, que ha mejorado su módulo Cronod para capturar credenciales de inicio de sesión e interceptar transacciones criptográficas. Es notable que los desarrolladores de Chaes presentan similitudes con el código fuente de NS-Stealer, lo que sugiere una posible relación entre ambos, e incluso la posibilidad de que provengan de los mismos creadores.

NS-Stealer posee la capacidad de comprometer la confidencialidad de la información almacenada en los sistemas afectados, extrayendo cookies, credenciales de navegadores y tokens de Discord. Además, busca tokens de Discord y capturar credenciales de inicio de sesión, impactando negativamente la autenticación de los usuarios en servicios en línea, incluyendo las plataformas afectadas.

Vector de infección

NS-Stealer emplea archivos ZIP que simulan ser software legítimo, atrayendo a los usuarios con la apariencia de contenido genuino para su descarga y ejecución. Una vez que el usuario inicia el archivo ZIP, NS-Stealer se activa y genera una carpeta específica en el sistema comprometido, destinada a almacenar datos exfiltrados. En esta carpeta, el malware recopila información sensible, que incluye capturas de pantalla, cookies, credenciales de navegadores y tokens de Discord.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Limitar los privilegios del usuario y utiliza el principio de privilegios mínimos. Esto puede ayudar a reducir el impacto si un sistema se ve comprometido.
  • Configurar firewalls y listas de control de acceso para restringir el tráfico no autorizado y bloquear comunicaciones con dominios o direcciones IP conocidas asociadas con Ns-Stealer.

Leer noticia: https://thehackernews.com/2024/01/ns-stealer-uses-discord-bots-to.html