Una empresa de investigación de seguridad y hacking dice haber encontrado un fallo de codificación que permite bloquear a los operadores del malware Mars Stealer de sus propios servidores y liberar a sus víctimas.
Mars Stealer es un malware de robo de datos como servicio, que permite a los ciberdelincuentes alquilar el acceso a la infraestructura para lanzar sus propios ataques. El malware se distribuye a menudo en forma de archivos adjuntos a los correos electrónicos, anuncios maliciosos y en paquetes de archivos torrent en sitios de intercambio de archivos. Una vez infectado, el malware roba las contraseñas de la víctima y los códigos de dos factores de sus extensiones de navegador, así como el contenido de sus carteras de criptomonedas. El malware también puede utilizarse para enviar otras cargas útiles maliciosas, como el ransomware.
A principios de este año, se filtró en Internet una copia crackeada del malware Mars Stealer, que permitía a cualquiera construir su propio servidor de mando y control de Mars Stealer, pero su documentación era defectuosa y guiaba a los posibles malos actores a configurar sus servidores de forma que expusieran inadvertidamente los archivos de registro repletos de datos de usuarios robados de los ordenadores de las víctimas. En algunos casos, el operador se infectaba inadvertidamente con malware y exponía sus propios datos privados.
Mars Stealer cobró fuerza en marzo tras el desmantelamiento de Raccoon Stealer, otro popular malware de robo de datos. Esto llevó a un aumento de las nuevas campañas de Mars Stealer, incluyendo el ataque masivo a Ucrania en las semanas siguientes a la invasión de Rusia y un esfuerzo a gran escala para infectar a las víctimas mediante anuncios maliciosos. En abril, los investigadores de seguridad dijeron haber encontrado más de 40 servidores que alojaban Mars Stealer.
Ahora, Buguard, una empresa de pruebas de penetración, dijo que la vulnerabilidad que descubrió en el malware filtrado permite entrar de forma remota y "derrotar" a los servidores de comando y control de Mars Stealer que se utilizan para robar datos de los ordenadores infectados de las víctimas.
Youssef Mohamed, director de tecnología de la compañía, aseguró que la vulnerabilidad, una vez explotada, borra los registros del servidor de Mars Stealer objetivo, termina todas las sesiones activas que cortan los lazos con los ordenadores de las víctimas y luego codifica la contraseña del panel de control para que los operadores no puedan volver a iniciar sesión.
Mohamed dijo que esto significa que el operador pierde el acceso a todos sus datos robados y tendría que atacar y reinfectar a sus víctimas de nuevo.
Atacar activamente los servidores de los malos actores y los ciberdelincuentes, lo que se conoce como "hacking back", es poco ortodoxo y muy debatido tanto por sus méritos como por sus inconvenientes y por qué la práctica en Estados Unidos está reservada únicamente a las agencias gubernamentales. Un principio generalmente aceptado en la investigación de seguridad de buena fe es mirar pero no tocar algo que se encuentra en línea si no le pertenece; sólo documentarlo e informarlo. Sin embargo, aunque una táctica habitual es solicitar a los proveedores de alojamiento web y a los registradores de dominios que cierren los dominios maliciosos, algunos agentes maliciosos se instalan en países y redes donde pueden llevar a cabo sus operaciones de malware en gran medida con impunidad legal y sin temor a ser procesados.
Mohamed dijo que su empresa ha descubierto y neutralizado cinco servidores Mars Stealer hasta ahora, cuatro de los cuales se desconectaron posteriormente. La empresa no publica la vulnerabilidad para no alertar a los operadores, pero afirma que compartirá los detalles del fallo con las autoridades con el fin de ayudar a acabar con más operadores de Mars Stealer. La vulnerabilidad también existe en Erbium, otro malware de robo de datos con un modelo de malware como servicio similar a Mars Stealer, dijo Mohamed.