AuraStealer
AuraStealer es un stealer de información comercial (malware-as-a-service) que se centra en el robo de datos de navegadores web, clientes de correo, aplicaciones de mensajería y billeteras de criptomonedas. Se distribuye comúnmente a través de campañas de ingeniería social, donde se hace pasar por un software legítimo o un crack para engañar a las víctimas y que lo ejecuten. Su objetivo es extraer cualquier dato que tenga valor en el mercado negro.
Entre sus capacidades clave se encuentra el robo de credenciales almacenadas, cookies de sesión (lo que permite el secuestro de cuentas), historial de navegación y archivos específicos del sistema. Está programado para atacar una amplia gama de aplicaciones, desde navegadores como Chrome y Firefox hasta clientes como Steam y Discord, maximizando el botín potencial.
Una vez que recopila la información, la envía de vuelta a un servidor de comando y control (C2) del atacante. AuraStealer es conocido por su interfaz de usuario accesible, lo que permite a actores de amenazas con pocos conocimientos técnicos operarlo fácilmente, contribuyendo a su propagación y uso generalizado en foros clandestinos.
Funcionamiento
Arquitectura Modular y Configuración:
AuraStealer sigue un modelo de Malware-as-a-Service (MaaS) con una arquitectura modular. Los atacantes adquieren un builder, una herramienta que genera el binario malicioso final con una configuración personalizada. Este builder permite especificar los módulos a incluir, la lista de aplicaciones objetivo, la dirección del servidor C2, y las opciones de ofuscación. El ejecutable resultante suele estar empaquetado con un crypter para evadir la detección por firmas de antivirus.
Técnicas de Recolección de Credenciales:
El stealer emplea un enfoque sistemático para extraer credenciales de una lista predefinida de más de 70 aplicaciones. Para los navegadores, su proceso es similar al de TelegramStealer: localiza los perfiles, copia los archivos Login Data, Web Data, Cookies, y Local State (que contiene la clave de cifrado), y los descifra offline. Utiliza técnicas de inyección de DLL o ReadProcessMemory para robar credenciales de aplicaciones en ejecución como Steam, Discord, y clientes de FTP (FileZilla, WinSCP). Para FileZilla, por ejemplo, lee directamente los archivos sitemanager.xml y recentservers.xml. También realiza volcados de memoria de procesos específicos para encontrar cadenas de texto que coincidan con patrones de credenciales.
Mecanismos de Evasión y Exfiltración:
Para evadir análisis, AuraStealer verifica la presencia de procesos relacionados con sandboxes o herramientas de depuración (e.g., ProcessHacker.exe, Wireshark.exe). Si se detectan, puede terminar su ejecución. La información robada (credenciales, cookies, archivos de configuración, capturas de pantalla) se estructura en un reporte legible y se comprime. La exfiltración se realiza mediante una solicitud HTTP POST a un servidor C2 controlado por el atacante, utilizando un formato de datos específico (como JSON o datos de formulario multiparte). El panel de control web del C2 permite al atacante visualizar y gestionar los datos robados de forma organizada.
Impacto y consecuencias
Impacto Técnico Inmediato:
- Compromiso Horizontal de Aplicaciones: Su capacidad de atacar más de 70 aplicaciones implica una violación de datos masiva y transversal. No solo se roban credenciales de navegadores, sino también:
- Clientes de FTP y SSH (FileZilla, WinSCP): Exposición de credenciales de servidores web y sistemas internos.
- Clientes de Mensajería (Discord, Telegram): Robo de tokens de autenticación, leading to account takeover y acceso a canales/corporativos privados.
- Plataformas de Juegos (Steam): Pérdida de inventarios con valor económico real.
- Pérdida de Contexto de Seguridad: El robo de datos de autocompletar (
Web Data) y cookies proporciona a los atacantes información personal detallada (nombres, direcciones, datos de tarjetas) que facilita el fraude personalizado y el phishing.
Consecuencias Operativas y de Seguridad:
- Amenaza Persistente y Silenciosa: Diseñado para evadir detección, puede operar durante semanas. Su panel de control web permite al atacante revisar los datos de forma organizada, priorizando objetivos de alto valor para ataques posteriores.
- Infección de Múltiples Dispositivos: Al ser distribuido como MaaS, una misma campaña puede infectar a miles de víctimas, creando un conjunto masivo de datos (stealer logs) que se venden en foros clandestinos, amplificando el riesgo de que los datos se utilicen en múltiples ataques.
- Punto de Entrada para Ransomware: Las credenciales de acceso a sistemas corporativos (obtenidas de clientes de FTP o RDP) son frecuentemente el primer paso para el despliegue de ransomware. Grupos de ransomware compran estos logs en el mercado negro.
Impacto Organizacional y a Largo Plazo:
- Violación de Cumplimiento Normativo: Para una empresa, la fuga de credenciales de clientes, datos de empleados o información financiera puede constituir una violación de regulaciones como GDPR, HIPAA o PCI-DSS, conllevando multas millonarias.
- Costos de Respuesta a Incidentes: La organización debe invertir en servicios forenses, notificación a clientes, monitorización de crédito para los afectados y refuerzo de sus controles de seguridad.
- Pérdida de Ventaja Competitiva: El robo de información comercial confidencial o propiedad intelectual puede ser aprovechado por competidores, erosionando la posición en el mercado.
Origen y motivación
AuraStealer implementó un sistema de robo masivo modular que extrajo credenciales de más de 70 aplicaciones diferentes, estableciendo un modelo comercial de malware como servicio que permitió a cibercriminales sin conocimientos técnicos acceder a herramientas profesionales de recolección de datos.