Se ha detectado un nuevo malware de robo de información que es capaz de filtrar una gran cantidad de información confidencial y también deshabilitar programas antivirus para establecer persistencia en los puntos finales de destino.
Los investigadores de ciberseguridad de CYFIRMA han compartido un análisis en profundidad del ladrón de información, al que llaman Yunit Stealer.
Yunit Stealer utiliza JavaScript para incorporar utilidades del sistema y módulos criptográficos, lo que le permite ejecutar tareas como recuperación de información del sistema, ejecución de comandos y solicitudes HTTP. Permanece persistente en el dispositivo de destino modificando el registro, agregando tareas por lotes y VBScript y, en última instancia, estableciendo exclusiones en Windows Defender.
Robar contraseñas y datos de tarjetas de crédito.
Cuando se trata de sus capacidades de robo de información, Yunit es tan potente como cualquier otro malware. Puede robar información del sistema, datos guardados en el navegador (contraseñas, cookies, información de autocompletar, etc.), así como información de la billetera de criptomonedas. Además de las contraseñas, también puede guardar la información de la tarjeta de crédito almacenada en el navegador.
Una vez que recopila toda la información que considera útil, el malware intentará exfiltrarla a través de webhooks de Discord o a un canal de Telegram. También lo cargará en un servidor remoto y generará un enlace de descarga para mayor acceso. El enlace también incluirá capturas de pantalla, lo que permitirá al actor de la amenaza recuperar la información mientras mantiene el anonimato y evade la detección. También ayuda el acceso a los datos a través de canales de comunicación cifrados.
Para reforzar la idea de que Yunit es un ladrón de información incipiente que aún debe demostrar su destreza, CYFIRMA enfatizó que el canal Telegram no se creó hasta el 31 de agosto de 2024 y que actualmente cuenta con 12 suscriptores. Alternativamente, la cuenta de Discord está actualmente inactiva.
Leave a Reply