WhiteSnake promueve variantes de Windows y Linux con un modelo Malware as Service

Sus operadores actualizan con frecuencia el binario de malware a diario, ya que aún se encuentra en su fase de desarrollo.

Se ha observado un nuevo ladrón de información denominado WhiteSnake dirigido tanto a usuarios de Windows como de Linux. El malware, que se ofrece a través de una suscripción a MaaS, está diseñado para recopilar una variedad de información confidencial, incluidos números de tarjetas de crédito, contraseñas y capturas de pantalla del sistema de la víctima.

El modelo MaaS

Los investigadores de Cyble encontraron un anuncio en un foro de ciberdelincuencia que mostraba WhiteSnake y sus funcionalidades idénticas para las variantes de Windows y Linux. Según la publicación del foro, la variante de Linux afirma apuntar a las billeteras Exodus y Electrum, el navegador Firefox, FileZilla, Thunderbird, Pidgin y Telegram.

La variante de Windows, comparativamente más antigua y madura, es capaz de robar datos confidenciales de navegadores como Mozilla Firefox, Google Chrome, Brave-Browser, Chromium y Microsoft Edge.
El malware tenía un precio de $120 dólares por mes, $300 por tres meses, $500 por 6 meses, $900 por año y $1.500 por acceso de por vida.

Cadena de distribución de malware

Los expertos analizaron muestras solo para la variante de Windows, ya que las muestras de Linux no estaban disponibles.
La infección inicial comienza con un correo electrónico no deseado que contiene un archivo ejecutable disfrazado de documento PDF.

Cuando la víctima abre el pdf, ejecuta el archivo que suelta un archivo BAT y lo ejecuta.
El archivo BAT ejecuta un script de PowerShell que procede a descargar otro archivo BAT desde una URL de Discord.
El script decodifica el contenido del archivo BAT guardado como un archivo ejecutable binario build[.]exe. Esta carga útil final es el ladrón de información de WhiteSnake.
Tras la ejecución, crea un mutex para evitar la doble ejecución en la misma máquina y realiza comprobaciones anti-VM para evadir la detección. De aquí en adelante, la carga útil inicia el proceso de robo de datos.

Capacidades de malware

El ladrón de información de WhiteSnake puede robar archivos de varios monederos de criptomonedas como Atomic, Bitcoin, Coinomi, Electrum, Exodus y Guarda.

El malware puede acceder a billeteras de criptomonedas a través de directorios específicos y recuperar datos de las extensiones del navegador de billeteras de criptomonedas.

Recopila datos de sesión confidenciales de varias aplicaciones de mensajería como Discord, Pidgin, Steam y Telegram, clientes de correo como Thunderbird, clientes FTP como FileZilla y varias otras aplicaciones, incluida Snowflake.