AuraStealer ha surgido como un malware-as-a-service peligroso que ataca sistemas Windows desde Windows 7 hasta Windows 11. Este infostealer se propaga principalmente a través de campañas de "Scam-Yourself" en plataformas como TikTok, donde las víctimas se encuentran con videos tutoriales que promocionan la activación gratuita de software de pago. El malware está desarrollado en C++ con un tamaño de construcción de entre 500 y 700 KB.

AuraStealer ha surgido como un malware-as-a-service peligroso que ataca sistemas Windows desde Windows 7 hasta Windows 11. Este ladrón de información se propaga principalmente a través de campañas de "Engáñate a ti mismo" en plataformas como TikTok, donde las víctimas se encuentran con videos tutoriales que promocionan la activación gratuita de software de pago. El malware está desarrollado en C++ con un tamaño de compilación entre 500 y 700 KB y afirma robar datos de más de 110 navegadores, 70 aplicaciones, incluyendo billeteras y herramientas de autenticación de dos factores, y más de 250 extensiones de navegador a través de su sistema de configuración personalizable. La amenaza opera a través de múltiples métodos de entrega, incluyendo juegos pirateados, descargas de software malicioso y flujos de ejecución en varias etapas que involucran cargadores personalizados y técnicas de carga lateral de DLL. Ofrecido a través de un modelo de suscripción escalonado con precios que oscilan entre los $295 y los $585 por mes, AuraStealer proporciona a los ciberdelincuentes un panel web dedicado para gestionar los datos robados. El malware originalmente solo admitía ruso, pero desde entonces se ha actualizado para incluir soporte para el idioma inglés, lo que sugiere que los desarrolladores operan dentro de comunidades criminales cibernéticas de habla rusa. A pesar de su diseño sofisticado, el ladrón contiene varias fallas que crean oportunidades de detección para los defensores de la seguridad. Los investigadores de Gendigital identificaron que AuraStealer utiliza tácticas de evasión avanzadas para evitar la detección y el análisis. El malware realiza comprobaciones exhaustivas antes de ejecutarse, incluyendo la verificación de la geolocalización para evitar ejecutarse en países de la CEI y los estados bálticos. Evalúa las características del sistema, como la capacidad de la memoria y el número de procesadores, para detectar máquinas virtuales, esperando al menos cuatro procesadores o 200 procesos en ejecución para continuar con la ejecución. El ladrón también muestra un cuadro de diálogo que requiere a los usuarios que introduzcan un código generado aleatoriamente al ejecutarse sin capas de protección, deteniendo efectivamente el análisis automatizado de sandbox mientras obliga a los distribuidores a empaquetar el malware con capas de protección adicionales.

Ofuscación de flujo de control indirecto y técnicas de cifrado de cadenas

El malware implementa la ofuscación del flujo de control indirecto reemplazando sistemáticamente los saltos y llamadas directos con unos indirectos donde las direcciones de destino solo se calculan en tiempo de ejecución. Este método interrumpe las herramientas de análisis estático como IDA Pro dejando a los desensambladores con bloques básicos aparentemente no relacionados. El mecanismo de ofuscación utiliza varios patrones que van desde simples sumas aritméticas hasta instrucciones condicionales complejas como cmovz donde las direcciones de destino dependen de los valores de retorno de múltiples llamadas de función precedentes. Para ocultar su funcionalidad, AuraStealer emplea el hashing de API impulsado por excepciones a través de un controlador de excepciones personalizado que deliberadamente desencadena violaciones de acceso, interceptándolas para enviar direcciones de función apropiadas de tablas de búsqueda precomputadas. La ofuscación de cadenas utiliza el cifrado XOR basado en la pila donde las cadenas cifradas y las claves XOR correspondientes se concatenan en la memoria a partir de valores constantes antes de ser descifradas. El malware realiza comprobaciones anti-manipulación utilizando la función MapFileAndCheckSumw para verificar las sumas de comprobación de los archivos en comparación con los valores almacenados en el encabezado PE, terminando la ejecución si se detectan modificaciones. AuraStealer instala controladores de excepciones personalizados durante las rutinas de inicialización antes de llegar a WinMain, lo que hace que la detección sea fácilmente pasada por alto. El ladrón apunta a datos confidenciales de navegadores basados en Chromium y Gecko, billeteras de criptomonedas, tokens de sesión activos de Discord, Telegram y Steam, tokens de autenticación de dos factores, bases de datos de gestores de contraseñas, incluyendo KeePass y Bitwarden, configuraciones VPN, contenido del portapapeles y capturas de pantalla mientras permite módulos de configuración personalizados para búsquedas de archivos basadas en comodines.