Salat Stealer

De CiberWiki
Revisión del 16:48 17 ago 2025 de Fernando.VH (discusión | contribs.) (Descripción de Salat Stealer)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

Salat Stealer es un malware sofisticado desarrollado en lenguaje Go, diseñado para infiltrarse en sistemas Windows y extraer información sensible de manera sigilosa. Su funcionalidad principal incluye la recolección de credenciales almacenadas en navegadores web y clientes de correo, acceso a billeteras de criptomonedas, captura de datos desde el portapapeles y la exfiltración de archivos. Además, posee capacidades de monitoreo en tiempo real del escritorio del usuario, incluyendo audio y video a través de micrófono y cámara, lo que representa un riesgo crítico para la privacidad y la seguridad financiera de las víctimas.

Para mantener persistencia y evadir detección, Salat Stealer utiliza técnicas avanzadas como la modificación del registro de Windows, la creación de claves de inicio automático, la omisión del Control de Cuentas de Usuario (UAC) y el empaquetado de su código con UPX. También copia sus archivos en directorios críticos del sistema y realiza escaneo de procesos y ventanas activas para recolectar información relevante, todo mientras minimiza la posibilidad de ser detectado por soluciones de seguridad tradicionales.

El malware tiene un alcance amplio, afectando navegadores populares y múltiples aplicaciones de mensajería y billeteras digitales. Su cadena de ataque comienza con la infección a través de correos de phishing, descargas maliciosas o aplicaciones troceadas, seguida de recolección de datos, monitoreo en vivo y exfiltración cifrada hacia servidores de comando y control. Dada su sofisticación y persistencia, Salat Stealer representa una amenaza significativa para usuarios individuales y organizaciones, subrayando la importancia de monitoreo constante, actualizaciones de seguridad y prácticas avanzadas de ciberdefensa.

Funcionamiento

Salat Stealer es un malware tipo infostealer desarrollado en el lenguaje de programación Go, diseñado para operar de manera sigilosa en sistemas Windows y exfiltrar información sensible de los usuarios y del sistema comprometido. Su arquitectura combina técnicas de persistencia, evasión, recolección de credenciales, espionaje en tiempo real y exfiltración cifrada de datos, lo que lo convierte en una amenaza avanzada y difícil de detectar.

1. Mecanismos de Persistencia y Ejecución Inicial

Salat Stealer se distribuye mediante phishing, descargas drive-by, archivos adjuntos maliciosos y software troceado. Una vez ejecutado, copia su binario en directorios críticos del sistema, como:

  • C:\Program Files (x86)\Windows Defender\
  • C:\Program Files (x86)\Windows NT\

Para garantizar la ejecución automática en cada inicio de sesión, crea entradas en el Registro de Windows bajo las claves de Run del usuario afectado:

El malware también implementa técnicas de bypass de UAC (User Account Control) modificando la clave del registro EnableLUA a “0”, permitiendo ejecutar comandos con privilegios elevados sin alertar al usuario. Esta acción requiere reinicio del sistema para activarse completamente, pero mientras tanto, el malware puede ejecutar código con permisos limitados hasta que el sistema se reinicie.

2. Técnicas de Evasión y Obfuscación

Salat Stealer emplea empaquetado UPX para ofuscar su binario y dificultar la detección por antivirus tradicionales. Además, realiza:

  • Decodificación de datos en Base64 de manera interna.
  • Creación y manipulación de objetos de flujo (Stream) para interactuar con archivos, dispositivos de entrada/salida y sockets TCP/IP.
  • Registro de actividad del sistema y ventanas activas solo cuando el usuario no está inactivo, minimizando la posibilidad de alertar a soluciones de seguridad.

El malware evita análisis automatizado y monitoreo restringiendo la recopilación a interacciones relevantes y condiciones predeterminadas de actividad del usuario.

3. Recolección de Información y Credenciales

Salat Stealer realiza un reconocimiento exhaustivo del sistema:

  • Obtiene el Machine GUID y hardware identifiers (HWID).
  • Enumera procesos activos, ventanas abiertas y configuraciones de idioma del sistema.
  • Accede a credenciales almacenadas en navegadores web (Chrome, Firefox, Edge, Vivaldi, Opera GX, entre otros) y clientes de correo local.
  • Extrae claves privadas de billeteras de criptomonedas, incluyendo Metamask, TonKeeper, Exodus, Binance Wallet y muchas más.
  • Monitorea el portapapeles para interceptar datos sensibles, como contraseñas o direcciones de criptomonedas.
  • Captura teclas pulsadas (keylogging) para registrar entradas de usuario en tiempo real.

4. Espionaje y Monitoreo en Tiempo Real

Salat Stealer posee capacidades de spyware avanzado, que incluyen:

  • Captura de pantallas de manera continua.
  • Transmisión en vivo del escritorio a servidores de comando y control (C2).
  • Grabación de audio a través del micrófono.
  • Captura de video mediante la cámara del dispositivo.

Estas funcionalidades permiten a los atacantes observar en tiempo real la actividad de la víctima, obteniendo información confidencial directamente desde las interacciones del usuario con aplicaciones locales o servicios web.

5. Exfiltración de Datos

Toda la información recopilada es empaquetada y cifrada utilizando AES antes de ser enviada a los servidores C2. Los archivos pueden ser comprimidos en formatos ZIP para facilitar la transferencia, evitando la detección por sistemas de monitoreo de tráfico o antivirus. Además, el malware intenta borrar o modificar registros y rastros de su actividad para prolongar su presencia en el sistema y reducir la posibilidad de ser analizado.

6. Cadena de Ataque Completa

El ataque de Salat Stealer se puede resumir en las siguientes etapas:

  1. Entrega: phishing, adjuntos maliciosos, software troceado.
  2. Ejecución: apertura del archivo malicioso, persistencia mediante registro y bypass de UAC.
  3. Recolección de información: credenciales, datos del sistema, hardware ID, portapapeles, actividad en ventanas activas.
  4. Espionaje en tiempo real: captura de escritorio, audio y video.
  5. Exfiltración: envío cifrado de los datos al C2, limpieza de rastros.

Impacto y consecuencias

Salat Stealer representa una amenaza crítica tanto para sistemas individuales como para entornos corporativos debido a su capacidad de robo masivo de información sensible y espionaje en tiempo real. Su impacto no se limita solo a la pérdida de credenciales, sino que también afecta la integridad, confidencialidad y disponibilidad de los sistemas comprometidos. Al operar de manera persistente y evadir mecanismos de seguridad tradicionales, Salat Stealer puede permanecer activo durante largos periodos, ampliando el alcance del ataque y la exposición de información crítica.

1. Robo de Credenciales y Datos Sensibles

El malware extrae información de navegadores web, clientes de correo, criptobilleteras y archivos locales, lo que permite a los atacantes acceder a cuentas financieras, correos electrónicos, credenciales corporativas y datos personales. Esta información puede ser utilizada para:

  • Acceso no autorizado a cuentas bancarias o de criptomonedas, resultando en pérdidas financieras directas.
  • Suplantación de identidad (identity theft) mediante uso de credenciales robadas para realizar transacciones o abrir cuentas fraudulentas.
  • Compromiso de cuentas corporativas, incluyendo accesos a servidores, aplicaciones internas o servicios en la nube.

2. Espionaje en Tiempo Real y Violación de Privacidad

Salat Stealer captura pantallas, audio y video desde el dispositivo afectado, así como actividad del portapapeles y pulsaciones de teclado, permitiendo la vigilancia completa de la víctima. Esto genera un impacto directo sobre la privacidad y confidencialidad de la información, ya que:

  • Los atacantes pueden observar interacciones sensibles con aplicaciones empresariales y documentos confidenciales.
  • Se facilita la recopilación de información estratégica, como proyectos internos, contraseñas de sistemas críticos y datos de clientes.
  • La transmisión en tiempo real hacia servidores C2 permite que los atacantes adapten su estrategia según la actividad de la víctima, incrementando la efectividad del ataque.

3. Persistencia y Manipulación del Sistema

Salat Stealer modifica el Registro de Windows, utiliza directorios críticos del sistema para alojarse y emplea técnicas de bypass de UAC, asegurando ejecución automática al inicio del sistema. Esto tiene varias consecuencias técnicas:

  • Dificulta la detección y remediación, ya que los mecanismos tradicionales de antivirus pueden no reconocer el malware debido al empaquetado UPX y técnicas de ofuscación.
  • Permite la ejecución prolongada de código malicioso, lo que aumenta el riesgo de que otros malware o cargas adicionales sean desplegadas sin ser detectadas.
  • Introduce posibles interferencias con procesos críticos del sistema, como modificación de configuraciones de seguridad o detención de navegadores mediante TASKKILL.EXE, afectando la estabilidad del entorno operativo.

4. Exfiltración de Datos y Riesgo de Compromiso Extendido

Toda la información robada es cifrada y enviada a servidores remotos de control (C2), permitiendo a los atacantes:

  • Consolidar grandes volúmenes de datos de múltiples víctimas para su uso en ataques dirigidos futuros.
  • Vender o filtrar información confidencial en mercados ilegales, incrementando el riesgo de exposición pública.
  • Extender la cadena de ataque, ya que los datos obtenidos pueden ser utilizados para comprometer otros sistemas o cuentas asociadas.

Origen y Motivación

Salat Stealer es un malware desarrollado en el lenguaje de programación Go, cuyo origen apunta a actores de amenaza con conocimientos técnicos avanzados y motivación principalmente financiera y de espionaje, buscando obtener acceso no autorizado a credenciales, criptobilleteras, archivos sensibles y comunicaciones privadas; su diseño incluye capacidades de persistencia, evasión y vigilancia en tiempo real, lo que indica que su propósito es maximizar la exfiltración de información confidencial y monetizarla, además de posibilitar la recopilación de inteligencia sobre las víctimas para potenciales ataques dirigidos.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=Salat_Stealer&oldid=2537»