Los investigadores de ciberseguridad han revelado detalles de una campaña de malware dirigida a los desarrolladores de software con un nuevo ladrón de información llamado Evelyn Stealer al convertir en un arma el ecosistema de extensiones Microsoft Visual Studio Code (VS Code).

«El malware está diseñado para filtrar información confidencial, incluidas las credenciales de los desarrolladores y los datos relacionados con las criptomonedas. Los entornos de desarrolladores comprometidos también pueden utilizarse como puntos de acceso a sistemas organizativos más amplios», explica Trend Micro dijo en un análisis publicado el lunes.

La actividad está diseñada para destacar a las organizaciones con equipos de desarrollo de software que dependen de VS Code y extensiones de terceros, junto con las que tienen acceso a sistemas de producción, recursos en la nube o activos digitales, agregó.

Vale la pena señalar que los detalles de la campaña fueron primera documentación de Koi Security el mes pasado, cuando surgieron detalles sobre tres extensiones de VS Code (BigBlack.Bitcoin-Black, BigBlack.codo-AI y BigBlack.MrBigBlackTheme) que finalmente eliminaron una DLL de descarga maliciosa (» Lightshot.dll «) responsable de lanzar un comando oculto de PowerShell para buscar y ejecutar una carga útil de segunda etapa (» runtime.exe «).

El ejecutable, por su parte, descifra e inyecta la carga útil principal del ladrón en un proceso legítimo de Windows (» grpconv.exe «) directamente en la memoria, lo que le permite recopilar datos confidenciales y filtrarlos a un servidor remoto («server09.mentality [.] cloud») a través de FTP en forma de archivo ZIP. Parte de la información recopilada por el malware incluye:

  • Contenido del portapapeles
  • Aplicaciones instaladas
  • Monederos de criptomonedas
  • Procesos en ejecución
  • Capturas de pantalla de escritorio
  • Credenciales de Wi-Fi almacenadas
  • Información del sistema
  • Credenciales y cookies almacenadas de Google Chrome y Microsoft Edge

Además, implementa medidas de seguridad para detectar entornos virtuales y de análisis y toma medidas para terminar los procesos activos del navegador a fin de garantizar un proceso de recopilación de datos sin interrupciones y evitar cualquier posible interferencia al intentar extraer cookies y credenciales.

Esto se logra iniciando el navegador a través de la línea de comandos configurando los siguientes indicadores para la detección y los rastros forenses:

  • --headless=new, para ejecutarse en modo headless
  • --disable-gpu, para evitar la aceleración de la GPU
  • --no-sandbox, para deshabilitar el sandbox de seguridad del navegador
  • --disable-extensions, para evitar que las extensiones de seguridad legítimas interfieran
  • --disable-logging, para deshabilitar la generación de registros del navegador
  • --silent-launch, para suprimir las notificaciones de inicio
  • --no-first run, para omitir los cuadros de diálogo de configuración iniciales
  • --disable-popup-blocking, para garantizar la ejecución de contenido malintencionado
  • --window-position=-10000, -10000, para colocar la ventana fuera de la pantalla
  • --window-size=1,1, para minimizar la ventana a 1x1 píxel

«El descargador [DLL] crea un objeto de exclusión mutua (mutex) para garantizar que solo se pueda ejecutar una instancia del malware en un momento dado, lo que garantiza que no se puedan ejecutar varias instancias del malware en un host comprometido», afirma Trend Micro. «La campaña de Evelyn Stealer refleja la operacionalización de los ataques contra las comunidades de desarrolladores, que se consideran objetivos de gran valor dado su importante papel en el ecosistema de desarrollo de software».

La revelación coincide con la aparición de dos nuevas familias de malware robador basadas en Python, denominadas Distribuidor Moneta y Solyx Inmortal , y el primero también es capaz de atacar los sistemas macOS de Apple para permitir el robo integral de datos.

«[SolyxImmortal] aprovecha las API legítimas del sistema y las bibliotecas de terceros ampliamente disponibles para extraer datos confidenciales de los usuarios y filtrarlos a webhooks de Discord controlados por los atacantes», afirma CYFIRMA.

«Su diseño hace hincapié en el sigilo, la fiabilidad y el acceso a largo plazo en lugar de la ejecución rápida o el comportamiento destructivo. Al operar completamente en el espacio del usuario y confiar en plataformas confiables para el comando y el control, el malware reduce la probabilidad de ser detectado de inmediato y, al mismo tiempo, mantiene una visibilidad persistente de la actividad de los usuarios.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.