Introducción
Recientemente, los usuarios de Adobe Photoshop han sido blanco del instalador de la herramienta de estilización Topaz Clean. El motivo no es otro que la instalación de un plug-in para Photoshop, llamado Temp Stealer, que viene incluido en el instalador y que los usuarios no pueden desinstalar ni ser conscientes de ello.
En combinación con los mensajes publicados en la Dark Web, su autor afirma que Temp Stealer puede exfiltrar carteras de criptomonedas (más de cuarenta tipos), navegadores y otra información sensible para la filtración y reventa de datos.
Según nuestra observación, Temp Stealer tiene esa fuerza y a menudo se incluye con la versión crackeada del software. Tomando Topaz Clean como ejemplo, Temp Stealer se sitúa en el directorio /temp/ cuando el usuario hace clic en este instalador. Por supuesto que podríamos eliminarlo, pero pronto descubriremos que el instalador ha creado una entrada de registro de ejecución automática preparada para la persistencia del Temp Stealer.
Vulnerabilidad
¿Cómo se incluye el instalador? ¿Fue voluntario o intencionado? Esto aún está por determinar. Sin embargo, su trayectoria muestra que el Temp Stealer, un ejecutable GUI (Graphical User Interface) de 64 bits compilado en C/C++, se deja caer por el hash del archivo y se conecta a una IP 79.137.199.73 incrustada tras su ejecución.
A continuación, comprueba los monederos del sistema para robar el archivo relacionado con los correspondientes. Temp Stealer se dirige a los monederos de criptomonedas como Exodus Web Wallet, BitAppWallet, BinanceChain, etc., que están codificados en el binario de Temp Stealer.
A continuación, el malware roba cookies, nombres de usuario, contraseñas, autocompletado e historial de los navegadores basados en Chromium y Firefox. Ahora hemos restaurado parte de su pseudocódigo para buscar recursivamente entre todos los navegadores instalados.
Además de los navegadores, Temp Stealer también está interesado en las aplicaciones Steam y Telegram. Tras comprobar a fondo el registro, selecciona las aplicaciones activas y roba información como los perfiles de los jugadores y las contraseñas del archivo Sentry de Steam o del archivo Config; y los datos de la sesión, los mensajes y las imágenes de la carpeta tdata o de trabajo de Telegram. Al mismo tiempo, el software malicioso realiza una captura de pantalla del sistema actual y la guarda para su exfiltración.
Temp Stealer quiere mucho más que eso. Encontramos que llama a una URL particular para obtener la ubicación geográfica de la víctima, como país, ciudad, zona horaria y código postal. También recoge detalles de la memoria RAM, el procesador, la GPU y la autorización como el archivo token de Discord y el archivo de sesión de FileZilla de los sistemas objetivo. Después de obtener toda la información anterior, enviará los datos al servidor remoto del atacante, la misma IP conectada anteriormente.
Remediación
Debido al aumento de las transacciones digitales y del uso de criptomonedas, los autores de malware crean continuamente nuevos ladrones. La información sobre las amenazas y los medios de protección son indispensables para evitar los riesgos que conllevan, por lo que ofrecemos algunas sugerencias para su referencia:
- Evite descargar software crackeado de sitios web desconocidos
- Utilice contraseñas seguras y aplique la autenticación multifactorial siempre que sea posible
- Bloquee las URL que puedan utilizarse para propagar el malware
- Supervisar la baliza a nivel de red para bloquear la exfiltración de datos por parte de malware o TAs (Threat Actor)
- Habilitar soluciones de prevención de pérdida de datos (DLP) en los sistemas
Implementación de la solución
La base de firmas de detección de botnets de Hillstone puede proporcionar una protección adecuada contra esta vulnerabilidad. Dispositivos como el Sistema de Detección de Brechas de Servidores de Hillstone (sBDS), pueden soportar esta firma a través de una actualización a la versión más reciente, 3.8.221124001.