DarkCloud

DarkCloud Stealer es un sofisticado malware de robo de información que emplea un enfoque de exfiltración de datos de múltiples frentes. Descubierto por investigadores en 2022, este malware ha experimentado un aumento notable en su prevalencia, propagándose a nivel mundial a través de campañas de spam. Operando en varias etapas, DarkCloud Stealer carga una carga útil final en la memoria durante la última etapa, utilizando métodos como SMTP, Telegram, Web Panel y FTP para filtrar los datos robados. Se observa que este malware se vende en foros de ciberdelincuencia, permitiendo a los usuarios personalizar la carga útil según sus necesidades, incluso incorporando funciones de "grabber" y "clipper". Sus capacidades incluyen la recopilación de información del sistema, capturas de pantalla, monitoreo del portapapeles, recuperación de cookies, mensajes y contactos, así como la capacidad de robar datos de aplicaciones de criptomonedas. DarkCloud Stealer representa una seria amenaza para la seguridad cibernética y se aconseja seguir prácticas de ciberseguridad, como contraseñas seguras, actualizaciones automáticas de software y la implementación de soluciones antivirus.

Funcionamiento

DarkCloud Stealer es un malware avanzado diseñado para realizar el robo de información confidencial en dispositivos infectados. Este malware opera mediante un proceso de varias etapas, empleando técnicas sofisticadas para evadir la detección y exfiltrar datos de múltiples maneras. A continuación, se describe detalladamente el funcionamiento técnico de DarkCloud Stealer:

  1. Infección Inicial:
    • DarkCloud Stealer generalmente se propaga a través de campañas de spam, utilizando correos electrónicos no deseados que contienen enlaces maliciosos o archivos adjuntos.
    • El archivo inicial entregado es un binario .Net que actúa como un cuentagotas. Este archivo se copia en el directorio "Users\AppData\Roaming" y crea una entrada del Programador de tareas para lograr persistencia en el sistema.
  2. Carga Útil y Persistencia:
    • Una vez en el sistema, el malware se inicia y carga un binario del siguiente nivel en la memoria.
    • La carga útil final se carga en la memoria como un archivo VB, que es un binario ejecutable de 32 bits.
    • La persistencia se logra mediante la creación de una entrada en el Programador de tareas, asegurando que el malware se ejecute de manera regular.
  3. Decodificación y Compilación:
    • El archivo VB extrae un ejecutable llamado "ConsoleApp1.exe" desde un archivo PK en la sección de recursos.
    • "ConsoleApp1.exe" es un binario compilado .NET de 32 bits que incluye el código fuente de la carga útil de DarkCloud Stealer en su directorio de recursos.
  4. Recopilación de Información:
    • DarkCloud Stealer está diseñado para robar información de diversas fuentes. Utiliza métodos específicos para extraer datos de navegadores web, clientes de correo electrónico, clientes FTP y más.
    • Para navegadores basados en GECKO, como Firefox, el malware recupera nombres de usuario y contraseñas almacenados en archivos específicos.
    • Para navegadores basados en CHROMIUM, como Google Chrome, se extraen datos relacionados con cuentas de usuario y tarjetas de crédito de más de 25 navegadores diferentes.
    • Además de las credenciales, DarkCloud Stealer puede robar información de aplicaciones de criptomonedas, capturar ciertos tipos de archivos y monitorear actividades del portapapeles.
  5. Personalización y Adaptabilidad:
    • DarkCloud Stealer se distingue por su capacidad para adaptarse y personalizar sus funciones. Se vende con un constructor que permite a los usuarios ajustar la carga útil según sus necesidades.
    • El constructor incluye funciones como "grabber" y "clipper", lo que le da al malware flexibilidad para adaptarse a diferentes aplicaciones y entornos.
  6. Exfiltración de Datos:
    • Después de recopilar toda la información confidencial, DarkCloud Stealer almacena los datos en una variable y guarda la información en un archivo de texto llamado "credentials.txt".
    • Los datos robados se transmiten al servidor de Comando y Control (C&C) utilizando métodos como SMTP, Telegram, Web Panel y FTP.
  7. Continuidad y Adaptación:
    • DarkCloud Stealer muestra una capacidad continua de adaptación y desarrollo. Las versiones más recientes pueden presentar características adicionales o mejoradas, lo que hace que sea una amenaza persistente.

Impacto y Consecuencias

El impacto y las consecuencias de DarkCloud Stealer son significativos y pueden tener repercusiones serias tanto a nivel individual como empresarial. A continuación, se describen detalladamente los aspectos técnicos y las posibles consecuencias de este malware:

  1. Robo de Información Confidencial:
    • DarkCloud Stealer se especializa en el robo de información confidencial, incluyendo contraseñas, números de tarjetas de crédito, números de seguro social y otros datos personales o financieros. Este tipo de información robada puede ser utilizada para realizar transacciones fraudulentas, eludir la autenticación y comprometer cuentas de usuario.
  2. Operación Multifase:
    • El malware opera en múltiples etapas, utilizando técnicas avanzadas para evadir la detección y persistir en los sistemas infectados. Inicia con la entrega de un binario .Net a través de campañas de spam, establece la persistencia en el sistema mediante la creación de una tarea programada, y finalmente carga la carga útil final en la memoria durante la última etapa.
  3. Exfiltración de Datos Multicanal:
    • DarkCloud Stealer utiliza diversos canales para exfiltrar los datos robados, incluyendo SMTP, Telegram, Web Panel y FTP. Esta diversidad de canales aumenta la probabilidad de éxito en la transmisión de la información a los servidores de Comando y Control (C&C), dificultando su detección.
  4. Personalización y Adaptabilidad:
    • El malware ofrece capacidades de personalización a través de un "constructor de ladrones DarkCloud", permitiendo a los usuarios adaptar la carga útil según sus necesidades. Esto incluye la posibilidad de incorporar funciones de "grabber" y "clipper", lo que lo hace altamente adaptable a diferentes escenarios de ataque.
  5. Ventas en Foros de Ciberdelincuencia:
    • La venta del ladrón DarkCloud en foros de ciberdelincuencia sugiere que es accesible para actores malintencionados que pueden utilizarlo en sus propias campañas. Este acceso facilitado aumenta la propagación del malware y su potencial para ser utilizado en ataques más amplios.
  6. Afectación a Empresas y Usuarios Individuales:
    • DarkCloud Stealer no discrimina entre objetivos y puede afectar tanto a usuarios individuales como a empresas. La información robada puede ser utilizada para comprometer sistemas empresariales, acceder a cuentas bancarias personales, realizar fraudes financieros y comprometer la privacidad de los usuarios.
  7. Aumento en la Prevalencia:
    • La observación de un aumento intertrimestral en las muestras de DarkCloud Stealer indica que este malware está siendo utilizado activamente en campañas de ataque. Su capacidad para evolucionar y adaptarse a nuevas técnicas de evasión de seguridad lo hace aún más peligroso.
  8. Amenaza Continua para la Ciberseguridad:
    • La continua presencia de InfoStealers, como DarkCloud, representa una amenaza constante para la ciberseguridad a nivel mundial. Las organizaciones y usuarios deben estar alerta y tomar medidas proactivas para proteger sus sistemas contra este tipo de amenazas persistentes y evasivas.

Origen y Motivación

El origen y la motivación detrás de DarkCloud Stealer se encuentran en la creciente demanda de herramientas maliciosas por parte de actores cibernéticos con intenciones maliciosas. Este malware, descubierto por investigadores en 2022, parece haber sido desarrollado con el propósito específico de robar información confidencial, aprovechando técnicas avanzadas y canales multifacéticos para la exfiltración de datos. La venta de DarkCloud Stealer en foros de ciberdelincuencia indica una motivación financiera, ya que ofrece a los ciberdelincuentes la capacidad de personalizar y utilizar el malware para diversos ataques, desde el robo de credenciales hasta la compromisión de datos sensibles. La adaptabilidad y persistencia de este malware sugieren que sus creadores buscan aprovechar las vulnerabilidades en los sistemas informáticos para obtener beneficios financieros y comprometer la seguridad digital a nivel global.