Lladre d'informació

Lladre d'informació^[1] (en anglès infostealer) en el camp de la informàtica, es refereix a un tipus de programari maliciós creat per violar els sistemes informàtics i per robar informació confidencial — com ara dades d'inici de sessió, informació financera i altra informació d'identificació personal. La informació robada després s'empaqueta, s'envia a l'atacant i sovint s'intercanvia en mercats il·lícits a altres ciberdelinqüents.

Els infostealers solen consistir en un marc de treball tipus bot que permet a l'atacant configurar el comportament de l'infostealer i un panell de gestió que pren la forma d'un servidor al qual l'infostealer envia dades. Els infostealers s'infiltren als dispositius mitjançant atacs de pesca, llocs web infectats i descàrregues de programari maliciós, com ara modificacions de videojocs i programari piratejat, entre altres mètodes. Un cop descarregats, els infostealers recullen informació sensible sobre el dispositiu de l'usuari i envien les dades al servidor.

Els infostealers solen distribuir-se sota el model de programari maliciós com a servei (MaaS), en el qual els desenvolupadors permeten que altres parts facin servir els seus infostealers per les tarifes de subscripció. La funcionalitat dels infostealers pot variar, amb alguns centrats en la recollida de dades, mentre que altres ofereixen accés remot que permet executar programari maliciós addicional. Les dades robades es poden utilitzar en campanyes de pesca per a altres ciberatacs, com ara el desplegament de ransomware.

El nombre de registres de dades robats que es venen especialment a Russian Market, un fòrum de ciberdelinqüència, ha augmentat significativament des del 2022. Segons la investigació de Kaspersky a mitjan 2023, el 24% del programari maliciós ofert com a servei són "lladres d'informació".

Visió general

En els delictes cibernètics, el robatori de credencials és un mecanisme conegut mitjançant el qual persones malintencionades roben informació personal com ara noms d'usuari, contrasenyes o galetes per obtenir accés il·legítim als comptes en línia i a l'ordinador d'una víctima. Aquest delicte normalment es desenvolupa en quatre etapes, sent la primera l'adquisició de les credencials robades. Els infostealers són un tipus específic de programari maliciós dissenyat per a aquesta etapa inicial. Normalment, consten de dues parts diferenciades: el marc del bot i un servidor d'ordres i control, sovint conegut com a panell de gestió o interfície.^[2]

El marc del bot inclou un marc de construcció que permet a l'atacant configurar com es comportarà el robatori d'informació a l'ordinador d'un usuari i quin tipus d'informació robarà. La interfície de gestió, generalment escrita en llenguatges de desenvolupament web tradicionals com PHP, HTML i JavaScript,^[3] s'allotja normalment a la infraestructura comercial del núvol.^[4] La interfície de gestió funciona principalment com un servidor web al qual el robatori d'informació envia informació confidencial. La interfície també proporciona a l'atacant informació sobre l'estat dels robatoris d'informació desplegats i permet que l'atacant controli el seu comportament.^[3]

Distribució i ús

Els infostealers es distribueixen habitualment a través del model de programari maliciós com a servei (MaaS), que permet a persones amb diferents coneixements tècnics desplegar aquests programes maliciosos. Sota aquest model, normalment sorgeixen tres grups diferents: desenvolupadors, proveïdors de serveis de programari maliciós i operadors. Els desenvolupadors, els més tècnics, escriuen el codi infostealer. Els proveïdors de serveis de programari maliciós adquireixen llicències per al programari maliciós i l'ofereixen com a servei a altres ciberdelinqüents. Els operadors, que poden ser desenvolupadors o proveïdors de serveis en funció del seu nivell d'habilitat, utilitzen aquests serveis per robar credencials.^[2]

Un cop comprat el programari maliciós, s'estén a les màquines víctimes mitjançant diverses tècniques d'enginyeria social. La pesca, incloses les campanyes de pesca amb llança dirigides a víctimes específiques, és utilitzada habitualment. Els infostealers s'incrusten habitualment en fitxers adjunts de correu electrònic o enllaços maliciosos que enllacen a llocs web que realitzen descàrregues automòbils.^[3]^[5] A més, sovint s'inclouen amb extensions de navegador compromeses o malicioses, paquets d'engany de jocs infectats i programari piratejat o compromès d'una altra manera.^[5] Després de descarregar i executar el robador per una víctima, es comunica amb els servidors de comandament i control de l'atacant, cosa que permet que l'atacant pugui robar informació de l'ordinador de l'usuari. Tot i que la majoria dels robatoris d'informació s'orienten principalment a les credencials, alguns també permeten als atacants introduir i executar de manera remota altres programes maliciosos, com ara els ransomware, a l'ordinador de la víctima.^[2]^[6]

Les credencials obtingudes d'atacs de robatori d'informació sovint es distribueixen com a registres o abocaments de credencials, normalment compartides en llocs d'enganxament de codi com Pastebin, on els ciberdelinqüents poden oferir mostres gratuïtes, o es venen a granel en fòrums de pirateria clandestina, sovint per imports tan baixos com 10 dòlars.^[7]^[8] Els compradors d'aquestes credencials robades solen iniciar sessió per avaluar-ne el valor, sobretot buscant credencials associades a serveis financers o vinculades a altres credencials amb patrons similars, ja que són especialment valuoses.^[9] Sovint es venen credencials d'alt valor a altres ciberdelinqüents a preus més elevats,^[10] que poden utilitzar-les per a diversos delictes, inclòs el frau financer,^[11] integrant les credencials en xarxes zombis i operacions de millora de la reputació,^[11] o com a trampolins per a atacs més sofisticats, com ara estafar a empreses, distribuir programari de ransomware o fer espionatge patrocinat per l'estat.^[7]^[12] A més, alguns ciberdelinqüents utilitzen credencials robades per a atacs d'enginyeria social, suplantant la identitat del propietari original per afirmar que han estat víctima d'un delicte i sol·licitant diners als contactes de la víctima.^[13]^[14] Molts compradors d'aquestes credencials robades prenen precaucions per mantenir l'accés durant períodes més llargs, com ara canviar les contrasenyes i utilitzar xarxes Tor per ocultar les seves ubicacions, cosa que ajuda a evitar la detecció per part de serveis que, d'altra manera, podrien identificar i tancar les credencials robades.^[13]^[14]

Característiques

La funció principal d'un robatori d'informació és exposar informació sensible sobre la víctima als servidors de comandament i control d'un atacant. El tipus exacte de dades que s'exposaran dependrà de les funcions de robatori de dades habilitades per l'operador i de la variant específica d'infostealer utilitzada.^[15] La majoria de robatoris d'informació, però, contenen funcionalitats per recollir una varietat d'informació sobre el sistema operatiu amfitrió, així com la configuració del sistema i els perfils d'usuari. Alguns robadors d'informació més avançats inclouen la capacitat d'introduir programari maliciós secundari com troians d'accés remot i programari ransomware.^[3]

El 2009, els investigadors de l'equip de Symantec Rapid Response van publicar una anàlisi tècnica de l'infostealer Zeus, un dels primers lladres d'informació que es va crear.^[16] Van descobrir que el programari maliciós va extreure automàticament totes les dades emmagatzemades al servei d'emmagatzematge protegit d'un ordinador (que normalment utilitzava Internet Explorer per emmagatzemar contrasenyes) i intentava capturar qualsevol contrasenya enviada a l'ordinador mitjançant els protocols POP3 i FTP. A més d'això, el programari maliciós va permetre als investigadors definir un conjunt de fitxers de configuració per especificar una llista d'injeccions web per realitzar a l'ordinador d'un usuari, així com un altre fitxer de configuració que controlava quins URL web supervisaria el programari maliciós. Una altra configuració també va permetre als investigadors definir un conjunt de regles que es podrien utilitzar per provar si les sol·licituds HTTP addicionals contenien contrasenyes o altra informació sensible.^[17]

Més recentment, l'any 2020, investigadors de la Universitat Tecnològica d'Eindhoven van realitzar un estudi analitzant la informació disponible per a la venda al mercat negre de credencials subterrània impaas.ru. Com a part del seu estudi, van poder replicar el funcionament d'una versió del infostealer AZORult. Entre les funcions descobertes pels investigadors hi havia un marc de construcció, que permetia als operadors definir quin tipus de dades es robarien. Els investigadors també van trobar proves de connectors que robaven l'historial de navegació d'un usuari, un mecanisme personalitzable basat en regex que permetia a l'atacant recuperar fitxers arbitraris de l'ordinador d'un usuari, un mòdul d'extracció de contrasenyes del navegador, un mòdul per extreure l'historial de Skype i un mòdul per extreure l'historial de Skype. També van trobar opcions per exposar fitxers de carteres de criptomoneda.^[15]

Els investigadors també van trobar que les dades robades amb més freqüència amb els infostealers AZORult i venudes al mercat negre es podrien classificar en tres tipus principals: empremtes dactilars, galetes i recursos. Les empremtes dactilars consistien en identificadors que es van construir mitjançant la investigació d'una varietat de funcions posades a disposició pel navegador. Aquests no estaven vinculats a un servei específic, sinó que es consideraven un identificador únic amb precisió per als navegadors d'un usuari. Les galetes permetien als compradors segrestar la sessió del navegador d'una víctima injectant-la en un entorn de navegador. Els recursos fan referència a fitxers relacionats amb el navegador que es troben al sistema operatiu d'un usuari, com ara fitxers d'emmagatzematge de contrasenyes.^[18]

Economia i impacte

La creació d'una operació de robatori d'informació s'ha tornat cada cop més accessible a causa de la proliferació d'empreses de robatori com a servei, reduint significativament les barreres financeres i tècniques. Això fa que sigui factible que els ciberdelinqüents encara menys sofisticats puguin participar en aquestes activitats.^[3] En un article de 2023, investigadors de l'⁣Institut Tecnològic de Geòrgia van assenyalar que el mercat de robatoris allotjats és extremadament madur i altament competitiu, amb alguns operadors que ofereixen crear infostealers per tan sols 12 dòlars.^[19] Per als proveïdors de serveis que executen aquestes operacions de robatori, els investigadors van estimar que un operador típic de robatori d'informació només incorre en uns quants costos puntuals: la llicència d'ús del robatori d'informació, que s'obté d'un desenvolupador de programari maliciós, i la tarifa de registre del domini utilitzat allotja el servidor d'ordres i control. El cost continu principal que incorren aquests operadors és el cost associat amb l'allotjament dels servidors. Basant-se en aquests càlculs, els investigadors van concloure que el model de negoci del robatori com a servei és extremadament rendible, amb molts operadors que aconsegueixen marges de benefici superiors al 90% amb ingressos de milers de persones.^[20]

A causa de la seva extrema rendibilitat i accessibilitat, ha augmentat el nombre d'incidències de ciberseguretat que impliquen robatoris d'informació.^[7] El canvi posterior a la pandèmia de la COVID-19 cap al treball remot i híbrid, on les empreses donen als empleats accés als serveis empresarials a les seves màquines domèstiques, també s'ha citat com una de les raons de l'augment de l'eficàcia dels robatoris d'informació.^[7]^[21] L'any 2023, una investigació de Secureworks va descobrir que el nombre de registres de robatori d'informació — dades filtrades de cada ordinador — que es venien al mercat rus, el mercat subterrani més gran, va augmentar de 2 milions a 5 milions de registres de juny de 2022 a febrer de 2023.^[21] Segons la investigació de Kaspersky a mitjan 2023, el 24% del programari maliciós ofert com a servei són lladres d'informació.^[22]

Referències

↑ «lladre d'informació - Cercaterm». TERMCAT. [Consulta: 21 gener 2025].
↑ ^2,0 ^2,1 ^2,2 Avgetidis et al. 2023
↑ ^3,0 ^3,1 ^3,2 ^3,3 ^3,4 Avgetidis et al. 2023, pàg. 5308–5309
↑ Avgetidis et al. 2023, pàg. 5314,5319
↑ ^5,0 ^5,1 Nurmi, Niemelä & Brumley 2023
↑ Ryan 2021
↑ ^7,0 ^7,1 ^7,2 ^7,3 Newman 2024
↑ Nurmi, Niemelä & Brumley 2023
↑ Nurmi, Niemelä & Brumley 2023
↑ Nurmi, Niemelä & Brumley 2023
↑ ^11,0 ^11,1 Nurmi, Niemelä & Brumley 2023
↑ Muncaster 2023
↑ ^13,0 ^13,1 Onaolapo, Mariconti & Stringhini 2016
↑ ^14,0 ^14,1 Bursztein et al. 2014
↑ ^15,0 ^15,1 Campobasso & Allodi 2020, pàg. 1669
↑ Grammatikakis et al. 2021, pàg. 121
↑ Nicolas & Chien 2009, pàg. 3–4
↑ Campobasso & Allodi 2020
↑ Avgetidis et al. 2023
↑ Avgetidis et al. 2023
↑ ^21,0 ^21,1 Hendery 2023
↑ Lyons 2024

Bibliografia

Avgetidis, Athanasios; Alrawi, Omar; Valakuzhy, Kevin; Lever, Charles; Burbage, Paul; Keromytis, Angelos D.; Monrose, Fabian; Antonakakis, Manos «Beyond The Gates: An Empirical Analysis of {HTTP-Managed} Password Stealers and Operators» (en anglès). USENIX Security, 2023, pàg. 5307–5324.
Bursztein, Elie; Benko, Borbala; Margolis, Daniel [et al.].. «Handcrafted Fraud and Extortion: Manual Account Hijacking in the Wild». A: Proceedings of the 2014 Conference on Internet Measurement Conference (en anglès). ACM, 2014-11-05, p. 347–358. DOI 10.1145/2663716.2663749. ISBN 978-1-4503-3213-2.
Campobasso, Michele; Allodi, Luca. «Impersonation-as-a-Service: Characterizing the Emerging Criminal Infrastructure for User Impersonation at Scale». A: Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security (en anglès). ACM, 2020-10-30, p. 1665–1680. DOI 10.1145/3372297.3417892. ISBN 978-1-4503-7089-9.
Grammatikakis, Konstantinos P.; Koufos, Ioannis; Kolokotronis, Nicholas [et al.].. «Understanding and Mitigating Banking Trojans: From Zeus to Emotet». A: 2021 IEEE International Conference on Cyber Security and Resilience (CSR). IEEE, 2021-07-26, p. 121–128. DOI 10.1109/CSR51186.2021.9527960. ISBN 978-1-6654-0285-9.
Hendery, Simon. «Data log thefts explode as infostealers gain popularity with cybercriminals». SC Magazine, 17-05-2023. Arxivat de l'original el 2023-10-17. [Consulta: 18 juliol 2024].
Lyons, Jessica. «Ransomware gangs are paying attention to infostealers, so why aren't you?». The Register, 29-02-2024. Arxivat de l'original el 11 September 2024. [Consulta: 17 agost 2024].
Muncaster, Phil. «New Info-Stealer Discovered as Russia Prepares for New Offensive» (en anglès britànic). Infosecurity Magazine, 09-02-2023. Arxivat de l'original el 2024-09-11. [Consulta: 13 agost 2024].
Newman, Lily Hay (29 July 2024). «How Infostealers Pillaged the World's Passwords». Wired (en en-US). ISSN 1059-1028. Arxivat de l'original el 2024-08-13.
Nicolas, Falliere; Chien, Eric. «Zeus: King of the Bots». Symantec, 2009. Arxivat de l'original el 2017-01-10.
Nurmi, Juha; Niemelä, Mikko; Brumley, Billy Bob. «Malware Finances and Operations: A Data-Driven Study of the Value Chain for Infections and Compromised Access». A: Proceedings of the 18th International Conference on Availability, Reliability and Security (en anglès). ACM, 2023-08-29, p. 1–12. DOI 10.1145/3600160.3605047. ISBN 979-8-4007-0772-8.
Onaolapo, Jeremiah; Mariconti, Enrico; Stringhini, Gianluca. «What Happens After You Are PWND: Understanding the Use of Leaked Webmail Credentials in the Wild». A: Proceedings of the 2016 Internet Measurement Conference (en anglès). ACM, 2016-11-14, p. 65–79. DOI 10.1145/2987443.2987475. ISBN 978-1-4503-4526-2.
Ryan, Matthew (2021), Ryan, Matthew, ed., Ransomware Case Studies, vol. 85, Advances in Information Security, Cham: Springer International Publishing, pàg. 65–91, ISBN 978-3-030-66583-8, doi:10.1007/978-3-030-66583-8_5, <https://doi.org/10.1007/978-3-030-66583-8_5>. Consulta: 13 agost 2024

[1] «lladre d'informació - Cercaterm». TERMCAT. [Consulta: 21 gener 2025].

[usenix5308-2] 2,0 ^2,1 ^2,2 Avgetidis et al. 2023

[usenix5308-5309-3] 3,0 ^3,1 ^3,2 ^3,3 ^3,4 Avgetidis et al. 2023, pàg. 5308–5309

[4] Avgetidis et al. 2023, pàg. 5314,5319

[finance1-5] 5,0 ^5,1 Nurmi, Niemelä & Brumley 2023

[ryan-6] Ryan 2021

[wired-7] 7,0 ^7,1 ^7,2 ^7,3 Newman 2024

[finance2-8] Nurmi, Niemelä & Brumley 2023

[finance6-9] Nurmi, Niemelä & Brumley 2023

[finance7-10] Nurmi, Niemelä & Brumley 2023

[finance8-11] 11,0 ^11,1 Nurmi, Niemelä & Brumley 2023

[12] Muncaster 2023

[what_happen-13] 13,0 ^13,1 Onaolapo, Mariconti & Stringhini 2016

[imc353-14] 14,0 ^14,1 Bursztein et al. 2014

[impaas1669-15] 15,0 ^15,1 Campobasso & Allodi 2020, pàg. 1669

[16] Grammatikakis et al. 2021, pàg. 121

[symantec-17] Nicolas & Chien 2009, pàg. 3–4

[impaas1669-70-18] Campobasso & Allodi 2020

[usenix5309-19] Avgetidis et al. 2023

[usenix5318-20] Avgetidis et al. 2023

[scmedia-21] 21,0 ^21,1 Hendery 2023

[register-22] Lyons 2024

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]