Aquests lladres d’informació estan possibilitant que els ciberdelinqüents comercialitzin amb credencials en un temps rècord.

Un estudi de recerca de Cyberpress ha demostrat que les infeccions per codi maliciós (malware) del tipus infostealer (programari dissenyat específicament per robar dades delicades) poden comportar que credencials d’accés i una altra informació confidencial sigui llistada en mercats del web fosc en menys de 48 hores. Això representa una acceleració enorme davant de les bretxes tradicionals, que solen descobrir-se setmanes o fins i tot mesos després de succeïr.

El cicle d’infecció es desenvolupa en diverses etapes temporals. En les primeres dues hores, el codi maliciós s’instal·la i activa silenciosament, i accedeix a navegadors, clients de correu i altres aplicacions que emmagatzemen informació delicada. Entre les dues i dotze hores següents, l’infostealer recopila dades detallades: contrasenyes desades, galetes actives que permeten eludir autenticació multifactor, configuracions de VPN i credencials de serveis al núvol. Finalment, tota aquesta informació s’empaqueta i s’envia al servidor de l’atacant, a punt per ser comercialitzada.

Aquest tipus de codi maliciós funciona de manera molt diferent de les bretxes de bases de dades tradicionals: en comptes de robar una base de dades completa, els infostealers s’infiltren directament en dispositius individuals per extreure credencials i altres dades emmagatzemades localment, típicament a través de navegadors, clients de correu o altres aplicacions que guarden inicis de sessió i sessions actives.

Quan les dades han estat exfiltrades, els atacants no només poden accedir directament als sistemes compromesos, sinó que també poden monetitzar aquesta informació venent-la en mercats clandestins del web fosc, de vegades per preus molt baixos, cosa que facilita la seva reutilització per a atacs addicionals com ara frau financer, segrest de comptes corporatius i campanyes de segrest.

Entre els infostealers més actius destaquen Lumma, RedLine, Raccoon v2 i Vidar, que s’ofereixen fins i tot com a malware-as-a-service, cosa que permet que actors amb pocs coneixements tècnics puguin robar credencials a gran escala. 

Temps massa ràpids per a les empreses

Les implicacions per a la ciberseguretat empresarial són crítiques. Aquests atacs no depenen necessàriament d’explotar vulnerabilitats tècniques en xarxes corporatives, sinó de vectors més simples i humans, com ara descàrregues de programari no autoritzat, pesca o instal·lacions enganyoses fora dels canals oficials, cosa que dificulta la detecció primerenca mitjançant controls tradicionals de seguretat.

A més, la rapidesa amb què les dades robades poden aparèixer al web fosc implica que les organitzacions sovint no tenen temps real per reaccionar abans que la informació estigui en mans de tercers amb intencions malicioses.

En aquest context, la investigació crida a reforçar tant les defenses tècniques —com l’autenticació multifactor, la protecció avançada en endpoints i el monitoratge d’activitat inusual de credencials— com les pràctiques de govern d’identitat i accés a les organitzacions, per reduir la finestra d’exposició davant d’aquest tipus d’amenaces.