StealC y Amadey: Desglosando los Robadores de Información y los Servicios Detrás de Ellos
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe examina las actividades de StealC, una plataforma de info-robo-como-servicio, y Amadey, un cargador de malware como servicio. Los ciberdelincuentes utilizan estas herramientas para recopilar credenciales sensibles, cookies de sesión y datos relacionados con criptomonedas, permitiendo operaciones posteriores como ataques de ransomware. El ecosistema de amenazas se basa en tráfico web engañoso, envenenamiento SEO y campañas de phishing para comprometer dispositivos no administrados.
Investigación
La Unidad de Crímenes Digitales de Microsoft, trabajando con Europol, llevó a cabo una interrupción coordinada contra más de 200 dominios maliciosos y direcciones IP de mando y control vinculadas a StealC y Amadey. Los investigadores utilizaron Microsoft Copilot para analizar muestras de malware, descifrar cadenas incrustadas y descubrir infraestructura de mando y control codificada. La operación condujo a la eliminación y suspensión de una parte significativa de la infraestructura de apoyo de los actores de amenazas.
Mitigación
Los defensores deben habilitar la protección entregada desde la nube y la protección contra manipulación en Microsoft Defender para ayudar a bloquear nuevas variantes en evolución. La aplicación de reglas de Reducción de Superficie de Ataque también puede reducir la exposición a rutas comunes de infección como el tráfico web engañoso. Además, las organizaciones deben fortalecer la protección de identidad y la higiene de credenciales para limitar el impacto de los tokens de sesión robados y cuentas comprometidas.
Respuesta
Cuando se detecta esta actividad, las organizaciones deben priorizar la protección de identidad y la contención rápida para evitar que las credenciales robadas se utilicen para movimientos laterales. Los investigadores deben examinar de cerca posibles escenarios de elusión de MFA causados por el robo de cookies de sesión. Los puntos finales comprometidos deben aislarse rápidamente y la telemetría de autenticación debe ser monitoreada para detectar actividades inusuales que involucren credenciales válidas de usuarios.
"flowchart TD step_initial_access{"Acceso Inicial: T1189 – Compromiso por Drive-by & T1674 – Inyección de Entrada (ClickFix)"} step_persistence_amadey["Persistencia: T1037.004 – Tarea Programada & T1059.003 – Shell de Comandos de Windows (Amadey Loader)"] rules_for_step_persistence_amadey("<b>Nombre de la Regla</b>: MsiExec Generado por Proceso Shell (vía cmdline)<br/><b>ID de la Regla</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Acceso a Credenciales: T1555.003 – Credenciales de Navegadores Web, T1114.002 – Colección de Correos Remotos & T1552.008 – Mensajes de Chat (StealC Infostealer)"] step_stealth["Evasión de Defensa: T1070.010 – Reubicación del Malware (Ejecución de cuna de PowerShell)"] step_exfiltration["Exfiltración: T1041 – Exfiltración a Través del Canal C2 (Transmisión de datos RC4/Base64)"] step_initial_access –>|conduce_a| step_persistence_amadey step_persistence_amadey –>|permite| step_credential_harvesting step_credential_harvesting –>|entonces| step_stealth step_stealth –>|conduce_a| step_exfiltration step_persistence_amadey -.->|detectado_por| rules_for_step_persistence_amadey "
Flujo de Ataque
Detecciones
Uso Posible de Timeout para Retrasar la Ejecución (vía cmdline)
Ver
Descarga o Subida a través de Powershell (vía cmdline)
Ver
MsiExec Generado por Proceso Shell (vía cmdline)
Ver
Creación de Tareas Programadas para Persistencia del Malware Amadey [Registro de Eventos de Seguridad de Microsoft Windows]
Ver
Detección de Ejecución de Malware StealC e Inyección de Procesos [Creación de Procesos de Windows]
Ver
## Ejecución de Simulación
Requisito Previo: El Control de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBERÁN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa y Comandos del Ataque: Un adversario ha logrado soltar un ejecutable malicioso llamado
StealC.exe. Para evadir detecciones simples basadas en firmas e intentar ocultar su rutina de inyección, el malware está diseñado para llamar a sus funciones internas pasando el nombre de las API de Windows requeridas como argumentos de línea de comandos a un subproceso. Esto simula un enfoque al estilo «Viviendo-de-la-Tierra» donde la línea de comandos en sí misma contiene los indicadores de la intención de realizarCreateProcessAconCREATE_SUSPENDEDy posteriormente usarVirtualAllocExandWriteProcessMemorypara la inyección. -
Script de Prueba de Regresión:
# Script de simulación para activar la regla Sigma simulando las cadenas de línea de comandos esperadas # Nota: Esto simula la presencia de cadena, no la ejecución real de API. $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] Iniciando simulación: Ejecutando $malwareName con cadenas de inyección..." -ForegroundColor Cyan # Creamos un archivo ficticio llamado StealC.exe para satisfacer la parte 'Image' de la detección New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # Ejecutamos el archivo ficticio con las cadenas específicas requeridas por la lógica de detección # En un escenario real, esto sería el malware ejecutándose. Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] Comando de simulación enviado." -ForegroundColor Green -
Comandos de Limpieza:
# Limpieza: Eliminar el archivo de malware ficticio creado durante la simulación Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa: StealC.exe eliminado." -ForegroundColor Yellow