El 'infostealer' es uno de los tipos de 'malware' más populares y peligrosos, debido a que, una vez logra acceder y robar la información confidencial del dispositivo de la víctima, la envía a un servidor de comando y control y la ponen a la venta en la 'dark web'.
Además, se suelen propagar a través de correos electrónicos fraudulentos (el método conocido como 'phishing') en ataques de ingeniería social, o bien con un troyano, un virus que se inserta en un 'software' aparentemente legítimo.
Dos de las variantes más conocidas son RedLine -en activo desde 2020, según Specops- y META, que se habrían utilizado para acceder a los datos millones de usuarios y grandes corporaciones para robar información confidencial, como contraseñas, historiales de búsqueda y el contenido de criptocarteras.
También habrían permitido a los cibercriminales eludir la autenticación multifactor (MFA, por sus siglas en inglés) mediante el robo de 'cookies' de autenticación y otra información de los equipos y sistemas vulnerados, tal y como explica la Oficina Fiscal del Distrito Oeste de Texas (Estados Unidos).
RedLine y META se venden a través de un modelo descentralizado de 'Malware-as-a-service' (MaaS), en el que los ciberdelincuentes compran una licencia para usarlos y después desarrollan sus propias campañas, distribuidas a través de correo electrónico y descargas laterales fraudulentas de 'software'.
Este lunes una coalición internacional, liderada por la Policía Nacional de Países Bajos, ha logrado tumbar las operaciones de ambos 'infostealers' en el marco de la denominada Operación Magnus, ejecutada por el Grupo de Trabajo conjunto contra el Ciberdelito (JCAT) y con el apoyo de Europol.
En esta operación ha estado involucrada la Fiscalía, la Policía Nacional de Países Bajos y el equipo de Ciberdelincuencia de Limburgo (provincia neerlandesa), la Fiscalía y la Policía General belga, la Polícia Judiciária de Portugal, la Policía Federal australiana y belga; y varios organismos estadounidenses, entre ellos, el Servicio de Investigación Criminal Naval, la División de Investigación Criminal del Ejército y la Oficina Federal de Investigaciones (FBI).
Este desmantelamiento ha sido posible después de que las víctimas notificaran estos ataques y una empresa de ciberseguridad alertara de la posible existencia de servidores vinculados a RedLine y META situados en Países Bajos. Así, descubrieron que más de 1.200 servidores los estaban ejecutando en todo el mundo.
La Agencia de la Unión Europea para la Cooperación en Materia de Justicia Penal (EuroJust), que también ha coordinado la operación, ha servido de plataforma entre las distintas naciones participantes para intercambiar información dirigida a tumbar los sistemas de estas variantes de 'malware'.
Este organismo ha indicado que tres de los servidores implicados en estas actividades se desmantelaron en Países Bajos, donde también se confiscaron dos dominios; mientras que las autoridades belgas desarticularon varios canales de comunicación de RedLine y META.