Amnesia Stealer es un malware multifuncional diseñado para robar información confidencial y comprometer la seguridad de los dispositivos infectados. Disponible en versiones para Windows y Android, este software malicioso actúa como un "stealer" al extraer datos de navegadores (contraseñas, cookies, historiales y más), plataformas de juego, servicios de mensajería, y billeteras de criptomonedas. Además, opera como un RAT (Troyano de Acceso Remoto), ofreciendo a los atacantes el control directo del dispositivo, y cuenta con funciones adicionales como keylogger, cryptominer y clipper.

Este malware está diseñado para evadir la detección con capacidades avanzadas, incluyendo la desactivación de antivirus como Microsoft Defender y la detección de entornos virtuales. Amnesia también emplea técnicas para garantizar su persistencia en el sistema, como el inicio automático tras reinicios. Sus operaciones van desde el robo de datos hasta actividades como la minería de criptomonedas (Monero y Ethereum Classic), la captura de pulsaciones de teclado y la modificación de direcciones de billeteras en el portapapeles.

La presencia de Amnesia en un sistema puede ocasionar serios problemas de privacidad, pérdidas financieras, daños al hardware debido a la minería intensiva, y un alto riesgo de robo de identidad. Su distribución suele aprovechar técnicas de ingeniería social, como correos electrónicos maliciosos, sitios web dudosos, y archivos infectados, lo que resalta la importancia de contar con medidas preventivas como un antivirus actualizado y prácticas seguras de navegación.

Funcionamiento

Amnesia Stealer es un malware multifuncional diseñado para extraer información confidencial de sistemas infectados y operar con capacidades adicionales que lo convierten en una amenaza sofisticada y peligrosa. Este malware está disponible en variantes para sistemas operativos Windows y Android, lo que amplía su alcance y capacidad de ataque.

Arquitectura y capacidades principales

Amnesia se clasifica principalmente como un stealer, pero también incluye funcionalidades de un RAT (Remote Access Trojan), keylogger, cryptominer, y clipper. Su diseño modular le permite realizar múltiples acciones maliciosas en paralelo, lo que maximiza su impacto en el sistema infectado.

  1. Robo de Información
    • Navegadores y plataformas en línea: Amnesia es capaz de extraer datos almacenados en los navegadores web, incluyendo historiales de navegación, cookies, credenciales almacenadas (usuarios y contraseñas), números de tarjetas de crédito/débito y datos de autocompletado. Entre los navegadores compatibles se incluyen los más populares, como Chrome, Firefox y Edge.
    • Plataformas de videojuegos y mensajería: Este malware también está diseñado para robar datos específicos de aplicaciones como Battle.net, Steam, Discord (incluyendo tokens), Telegram, y WhatsApp. Además, puede acceder a datos de sesiones de plataformas de gaming como Epic Games, PlayStation y Xbox.
    • Carteras de criptomonedas: Amnesia está optimizado para localizar y exfiltrar información relacionada con wallets de criptomonedas, incluyendo Atomic, Binance, Coinbase, Exodus, MetaMask, y Trust Wallet.
  2. Funciones de RAT y persistencia
    • Como un RAT, Amnesia permite a los atacantes controlar remotamente el sistema infectado, lo que incluye la capacidad de ejecutar comandos, manipular archivos, y tomar capturas de pantalla. También puede activar la cámara del dispositivo para capturar imágenes sin el conocimiento del usuario.
    • Para garantizar su persistencia, Amnesia se configura para iniciarse automáticamente tras cada reinicio del sistema. También deshabilita el software de seguridad, incluyendo Microsoft Defender Antivirus, y evade otras soluciones antivirus mediante detección de entornos virtuales o de análisis.
  3. Keylogging y minería de criptomonedas
    • Keylogger: Amnesia puede registrar pulsaciones de teclas para capturar información sensible, como contraseñas y mensajes privados.
    • Cryptominer: Este malware utiliza los recursos del sistema para minar criptomonedas, incluyendo Monero (XMR) y Ethereum Classic (ETC). Esta actividad puede causar un aumento en el uso de CPU/GPU, sobrecalentamiento y daños físicos en el hardware.
  4. Clipper
    • Amnesia intercepta las direcciones de carteras de criptomonedas copiadas al portapapeles y las reemplaza con las direcciones controladas por el atacante. Esto redirige fondos a las cuentas del atacante en transacciones realizadas por las víctimas.

Métodos de distribución y persistencia

El malware se distribuye a través de técnicas como correos de phishing, campañas de ingeniería social, descargas drive-by, cracks de software ilegales y sitios web de software de terceros. Amnesia puede venir empaquetado en archivos comprimidos (ZIP/RAR), ejecutables (.exe), documentos (PDF/Office), y otros formatos.

Para dificultar su eliminación, emplea técnicas de ofuscación y desactiva servicios de seguridad. También monitorea su entorno para evitar su ejecución en máquinas virtuales o entornos de análisis.

Impacto y consecuencias

El impacto y las consecuencias de Amnesia Stealer pueden ser devastadores tanto para individuos como para organizaciones, ya que combina varias funcionalidades maliciosas que afectan múltiples aspectos del sistema infectado. Este malware no solo se centra en la extracción de información confidencial, sino que también degrada el rendimiento del sistema, compromete la seguridad de la red y puede generar pérdidas financieras y de reputación significativas. A continuación, se detalla su impacto desde varias perspectivas.


1. Impacto en la privacidad y seguridad de la información

  • Robo de credenciales:
    • Al extraer contraseñas almacenadas en navegadores, aplicaciones de mensajería y plataformas en línea, Amnesia permite el acceso no autorizado a cuentas personales y corporativas. Esto puede derivar en el robo de identidad, acceso a información sensible y utilización fraudulenta de servicios.
    • Tokens de autenticación de plataformas como Discord o Telegram pueden ser reutilizados para secuestrar cuentas y realizar campañas maliciosas adicionales desde perfiles legítimos.
  • Compromiso de wallets de criptomonedas:
    • Al acceder a carteras digitales y reemplazar direcciones de billeteras en el portapapeles (función de clipper), Amnesia facilita el desvío de fondos, lo que puede resultar en pérdidas financieras irreparables.
  • Exposición de datos confidenciales:
    • El robo de cookies y datos de autocompletado puede exponer información sensible, como detalles de tarjetas de crédito, direcciones personales y datos de identificación.

2. Impacto en el rendimiento del sistema y hardware

  • Uso intensivo de recursos:
    • Amnesia incluye capacidades de minería de criptomonedas, lo que conduce a un consumo excesivo de CPU y GPU. Esto degrada el rendimiento del sistema, haciéndolo más lento y menos eficiente para las tareas legítimas.
  • Daño físico al hardware:
    • La minería constante puede provocar sobrecalentamiento y desgaste prematuro del hardware, especialmente en equipos sin sistemas de refrigeración adecuados. Esto puede resultar en fallos permanentes del hardware.
  • Consumo de energía elevado:
    • La minería y las actividades maliciosas aumentan el consumo de electricidad, lo que se traduce en mayores costos operativos para las organizaciones o individuos afectados.

3. Impacto financiero

  • Pérdidas económicas directas:
    • Las capacidades de Amnesia para interceptar transacciones financieras y desviar fondos a cuentas controladas por atacantes pueden causar pérdidas económicas significativas, especialmente para aquellos que manejan grandes volúmenes de transacciones digitales.
  • Extorsión o chantaje:
    • Los datos exfiltrados, como información personal o empresarial, pueden ser utilizados para chantaje o venta en mercados clandestinos.
  • Interrupción de actividades comerciales:
    • En un entorno corporativo, la degradación del sistema y el acceso no autorizado a redes pueden interrumpir operaciones críticas, lo que afecta la productividad y puede derivar en pérdidas de ingresos.

4. Impacto en la red y ciberseguridad

  • Compromiso de redes empresariales:
    • Con sus capacidades de RAT, Amnesia puede actuar como una puerta trasera, permitiendo a los atacantes moverse lateralmente dentro de una red. Esto facilita ataques más amplios, como ransomware o el despliegue de otros tipos de malware.
  • Infección secundaria:
    • Amnesia puede descargar y ejecutar malware adicional, como ransomware, spyware o herramientas de exfiltración avanzada, lo que agrava aún más el impacto.
  • Desactivación de medidas de seguridad:
    • La desactivación de antivirus y herramientas de seguridad expone el sistema a otros ataques, dejando la red altamente vulnerable.

5. Impacto reputacional

  • Pérdida de confianza:
    • Las brechas de seguridad ocasionadas por Amnesia pueden derivar en la pérdida de confianza de los clientes o socios comerciales, especialmente si los datos robados incluyen información de terceros.
  • Dañar la marca:
    • En un entorno corporativo, una filtración de datos puede afectar la imagen de la empresa, disminuyendo su credibilidad en el mercado.

6. Consecuencias legales y regulatorias

  • Cumplimiento de normativas:
    • Si Amnesia roba datos personales en empresas sujetas a regulaciones como GDPR, HIPAA o PCI DSS, las organizaciones pueden enfrentarse a multas severas y responsabilidades legales.
  • Responsabilidad por negligencia:
    • Las empresas afectadas pueden ser consideradas responsables si no implementaron medidas de seguridad adecuadas para proteger los datos de los usuarios.

7. Propagación y efectos secundarios

  • Expansión del malware:
    • Amnesia puede actuar como una herramienta de propagación, infectando dispositivos conectados y redes cercanas, lo que amplía el alcance del ataque.
  • Uso en campañas maliciosas:
    • Los datos exfiltrados pueden ser utilizados en campañas de phishing dirigidas, ataques de ingeniería social o para personalizar ataques futuros contra la víctima.

Origen y motivación

El stealer Stealerium/Amnesia tiene su origen en la creciente demanda de herramientas de cibercrimen en foros clandestinos, donde los desarrolladores compiten por crear malware versátil y altamente eficaz. Su motivación principal radica en el beneficio económico, ya que está diseñado para robar credenciales, datos financieros y activos digitales como criptomonedas, además de habilitar actividades adicionales como minería de criptomonedas y acceso remoto para explotación posterior. Este stealer busca maximizar su impacto mediante la recopilación masiva de información y la propagación en entornos vulnerables, lo que lo convierte en una herramienta ideal para ciberdelincuentes interesados en el lucro y la infiltración prolongada en sistemas.

Familias de malware