Gli stealer logs rappresentano uno dei principali vettori di minaccia per le aziende moderne. Tuttavia, molte aziende sono ancora concentrate sul controllo delle credenziali rubate e rimangono ignare della significativa minaccia rappresentata dai dispositivi infetti di tipo "infostealer".
Questo articolo esplicativo esplorerà il ciclo di vita del malware di tipo "stealer" e fornirà suggerimenti per la rilevazione e la rimozione.
Cos'è uno stealer log? Esistono diverse varianti di malware "infostealer", ma i principali gruppi con cui ci si imbatte spesso sono Redline, Raccoon, Vidar e Titan.
Questo malware infetta i computer delle vittime ed estrae le password salvate nel browser, insieme ai dati dell'host come la versione del sistema operativo, l'indirizzo IP, i dati degli appunti, la cronologia del browser, le carte di credito salvate oltre ai dati dei criptowallet.
Il malware invia poi questi dati all'infrastruttura di comando e controllo dell'attore minaccioso. Successivamente, viene venduto come singole inserzioni su mercati dedicati del dark web o distribuito attraverso canali specializzati di cybercrime su Telegram.
Malware as a service
La crescita dell'ecosistema dei crimini informatici ha evidenziato una crescente tendenza verso la commercializzazione di malware "infostealer".
I venditori di malware as a service vendono l'accesso alle principali varianti di infostealer su canali specializzati su Telegram a un prezzo mensile fisso, che di solito varia da $100 a $300, a seconda dell'anzianità del malware, con possibilità di abbonamenti a vita.
Gli acquirenti ottengono anche l'accesso a un portale web collegato all'infrastruttura di comando e controllo, che può essere utilizzato per raccogliere i logs delle vittime in un luogo centralizzato. Di seguito uno screenshot di un pannello di controllo web di uno "stealer logs".
Come viene distribuito?
Gli Hacker che acquistano gli stealer logs hanno la finalità di distribuire il malware alle vittime. Questa distribuzione avviene tipicamente attraverso tre vettori principali:
-
-Download di un software craccato
-
-Annunci illegittimi
-
-Email di spear-phishing per attacchi mirati contro le organizzazioni.
Una volta che il malware "infostealer" viene scaricato sul computer della vittima, si esegue automaticamente cercando di stabilire una comunicazione con l'infrastruttura di comando e controllo (C2). In caso di comunicazione riuscita, le credenziali e i dati dell'host vengono inviati all'attore minaccioso.
Reselling
La stragrande maggioranza degli stealer logs proviene da computer domestici senza accesso agli ambienti IT aziendali.
In molte situazioni, gli attori minacciosi utilizzano gli stealer logs per accedere a ambienti VPN, servizi di streaming e altre applicazioni di consumo di base.
Tuttavia, i logs che forniscono accesso agli ambienti IT aziendali sono i più ricercati e costosi.
Si elaborano più di un milione di registri di "stealer" a settimana e stimiamo che almeno l'1% di essi contenga l'accesso agli ambienti IT aziendali. I registri di "stealer" vengono tipicamente distribuiti attraverso uno dei quattro canali principali.
I marketplace dove acquistare gli stealer logs
Uno dei più famosi marketplace è sicuramente Genesis, ma anche le rooms sia pubbliche che private di Telegram non scherzano!
Questi mercati sono progettati per attori minacciosi che stanno "facendo shopping" per credenziali specifiche, e i prezzi delle credenziali variano spesso in modo drammatico in base al tipo di informazioni vendute.
Ad esempio, il prezzo medio di un dispositivo infetto elencato sul mercato Genesis è di $14,39, tuttavia, se è associato a un dominio del settore sanitario, il prezzo sale a $93,91, e l'accesso ai servizi bancari porta il prezzo a oltre $110 per dispositivo.
Il business degli stealer logs su Telegram
I logs distribuiti tramite Telegram sono completamente diversi, di solito appaiono in grandi file zip contenenti centinaia o migliaia di singoli logs.
Spesso vengono distribuiti in stanze pubbliche di Telegram, ma un numero significativo viene anche condiviso in canali VIP privati con "accesso a pagamento".
Questi canali hanno tipicamente un costo compreso tra $300 e $900 al mese e sono limitati a 10-15 utenti. Ciò offre esclusività agli attori minacciosi nel canale, consentendo loro di selezionare ed sfruttare i log più preziosi prima che siano probabilmente condivisi in una stanza pubblica di Telegram in seguito.
Nella foto di seguito un esempio di chat telegram dove possiamo vedere anche un abbonamento a vita per 4000$.
Il business degli IAB
Crediamo che molti intermediari, attivi su forum del dark web comeexploit.in e xss.is, esaminino milioni di stealer logs trovati nei canali VIP di Telegram, e nei mercati russi quali ad esempio Genesis.
Il loro obiettivo è identificare i logs che contengono l'accesso alle risorse aziendali, che possono poi essere utilizzati per stabilire e ampliare l'accesso aziendale. L'acquisto di logs che contengono già diverse serie di credenziali aziendali semplifica significativamente il processo di hackeraggio di un'azienda.
Una volta convalidato l'accesso, gli intermediari detti Initial access broker (IAB), mettono all'asta l'accesso stabilito a prezzi che vanno, da migliaia di dollari a decine di migliaia di dollari, a seconda dell'organizzazione vittima, e del livello di accesso stabilito.
Di seguito un post su Exploit.in che vende l'accesso di una azienda. Notare che l'attore minaccioso elenca informazioni rilevanti sull'azienda interessata oltre all'antivirus utilizzato dalla vittima. Le offerte partono da $1,000 con incrementi di $1,000 aggiuntivi e un prezzo "compralo subito" di $10,000.
Come difendersi dagli stealer logs
Oggigiorno è sempre più importante monitorare il Darkweb.
NGsecurity, grazie alla sua piattaforma, fornisce una gestione mirata dell'esposizione delle aziende nel Darkweb.
La nostra piattaforma individua le minacce in centinaia di mercati e forum del dark web, migliaia di canali illeciti su Telegram, e anche fonti di rischio provenienti dal clear web.
La nostra piattaforma si integra nel tuo programma di sicurezza esistente in soli 30 minuti, con integrazioni native che ti consentono di costruire un programma di sicurezza informatica guidato dalle minacce. Richiedi oggi una demo del prodotto per saperne di più.