Los autores de Meduza están impulsando el malware como un servicio basado en suscripción, que ofrece planes de acceso de 1 mes, 3 meses y de por vida.
Las operaciones de Crimeware-as-a-Service ( CaaS ) se han convertido en la última moda en el mundo del ciberdelito, y Meduza Malware es el arma más nueva añadida a su arsenal cada vez mayor.
Los investigadores de Uptycs Threat informan que Meduza Stealer está en desarrollo activo y cuenta con capacidades integrales de robo de datos, junto con técnicas avanzadas de evasión de detección.
¿Cómo se descubrió al stealer de Meduza?
Los investigadores de Uptycs descubrieron el malware Meduza mientras monitoreaban los canales de Telegram y los foros de la Dark Web . El examen inicial reveló que el ladrón fue desarrollado por alguien con el nombre de usuario Meduza. Según el administrador del malware, Meduza no realiza operaciones de ransomware y solo funciona como un ladrón de información.
Objetivos Meduza: sistemas Windows y navegadores
El malware está diseñado para atacar sistemas y organizaciones basados en Windows. Actualmente, roba una amplia gama de datos del sistema y del navegador, desde credenciales de inicio de sesión hasta historial de navegación, marcadores, etc.
También se dirige a los datos almacenados por 2FA, billeteras criptográficas y administradores de contraseñas. Todos los tipos de extensiones son vulnerables a Meduza.
¿Qué hace que Meduza sea inusual?
Los investigadores notaron que tiene un diseño operativo "artesanal" ya que, a diferencia de otros programas maliciosos comunes, el binario de Meduza no utiliza técnicas de ofuscación, lo que lo hace prácticamente indetectable. El administrador de malware ha empleado tácticas de marketing altamente sofisticadas para generar entusiasmo y confianza para el malware Meduza.
“En un movimiento calculado para ganar confianza, han iniciado escaneos estáticos y dinámicos del archivo del stealer de Meduza utilizando algunos de los software antivirus más reputados de la industria. Luego se compartieron capturas de pantalla, lo que demuestra que este potente malware podría evadir la detección de estas soluciones antivirus de primer nivel”, escribieron los investigadores en el informe publicado el 30 de junio de 2023.
Este malware se comercializa ferozmente en diferentes foros de ciberdelincuencia y canales de Telegram. La mayoría del software antivirus no puede detectar su binario de forma dinámica y estática, lo que hace que la situación sea mucho más problemática para los investigadores de seguridad. El modelo de precios para Meduza es un verdadero cambio de juego.
El administrador ofrece numerosos paquetes de suscripción, como planes de acceso de 1 mes, 3 meses y de por vida, a precios competitivos ($199 por mes, $399 por una suscripción de 3 meses y $1,199 por una licencia de por vida).
El malware Meduza se anuncia en el infame foro ruso de ciberdelincuencia y piratas informáticos XSS.IS (izquierda): el autor de Meduza se jacta de las capacidades de evasión AV del malware.
Además, los datos robados están disponibles en un panel web fácil de usar. Los suscriptores pueden crear binarios personalizados y acceder, descargar y eliminar datos confidenciales, incluidas direcciones IP, datos geográficos, cookies almacenadas, billeteras, contraseñas y nombres de compilación del sistema operativo directamente desde el panel.
Capacidades de robo de datos de Meduza
Después de infectar la máquina, el malware busca datos de geolocalización en una lista predefinida de países excluidos y anula las operaciones si encuentra una coincidencia. El malware Meduza se conecta al servidor C2 de su operador si no coincide. Comienza a robar datos solo después de que se establece la conexión. Roba datos de varias API de Windows, incluidos GetUserName, GetComputerName, GetCurrentHWProfile y EnumDisplayDevices.
También recopila detalles de la computadora de la CPU del sistema, ruta de ejecución, geolocalización, sistema operativo, RAM, ID de hardware, GPU, zona horaria, resolución de captura de pantalla, nombre de usuario, etc. También recopila información del navegador, información del registro del minero, información del administrador de contraseñas y detalles de los juegos instalados. , probablemente para obtener una gran cantidad de datos financieros y personales.
Meduza viene con una lista de navegadores predefinida y verifica la carpeta de Datos del usuario para obtener datos relacionados con el navegador, como cookies, historial, datos web, datos de inicio de sesión para cuentas y estado local. También roba datos de la aplicación Telegram Desktop de estas rutas del Registro de Windows:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C4A4AE8F-B9F7-4CC7-8A6C-BF7EEE87ACA5}_is1
Lo que es peor, el malware Meduza también es capaz de recopilar datos de 19 administradores de contraseñas, robar clientes, Discord, 95 navegadores web y 76 extensiones de billetera de criptomonedas.
Para mantenerse protegido, debe mantener actualizados el sistema operativo, los navegadores y las aplicaciones instaladas para que las vulnerabilidades se corrijan y usen contraseñas más seguras.
