Un análisis reciente de Cisco Talos revela la evolución de dos amenazas emergentes: CloudZ y Pheno, familias de malware diseñadas específicamente para robar información sensible, con un foco cada vez mayor en credenciales de servicios en la nube.
Malware moderno con objetivos claros: datos y accesoLos denominados infostealers no buscan destruir sistemas ni cifrar archivos como el ransomware. Su propósito es más silencioso y estratégico: recopilar credenciales, tokens y datos personales que luego pueden ser vendidos o utilizados en ataques posteriores.
CloudZ y Pheno representan esta nueva generación de amenazas, con capacidades ampliadas y mayor adaptabilidad.
¿Cómo funcionan CloudZ y Pheno?El informe describe un funcionamiento típico en varias fases:
1. Infección inicial
El malware suele distribuirse mediante:
- Descargas fraudulentas (software pirata, cracks)
- Archivos adjuntos maliciosos
- Sitios web comprometidos
2. Recolección de datos
Una vez dentro del sistema, el infostealer comienza a extraer información de múltiples fuentes:
- Navegadores web (contraseñas guardadas, cookies)
- Aplicaciones de mensajería
- Carteras de criptomonedas
- Tokens de autenticación
- Claves API y credenciales cloud
3. Exfiltración
Los datos robados se envían a servidores controlados por los atacantes, a menudo cifrados para evitar detección.
4. Monetización
La información se vende en foros clandestinos o se utiliza para comprometer cuentas adicionales.
Enfoque en la nube: el nuevo objetivo prioritarioUna de las características más preocupantes de CloudZ y Pheno es su orientación hacia servicios cloud.
Los atacantes buscan específicamente:
- Credenciales de Amazon Web Services
- Accesos a Microsoft Azure
- Tokens de Google Cloud
- Claves API utilizadas por desarrolladores
Este cambio refleja la importancia creciente de la nube en infraestructuras empresariales y personales.
Capacidades técnicas destacadasEl informe de Cisco Talos subraya varias capacidades avanzadas:
- Evasión de detección: técnicas para evitar antivirus tradicionales
- Modularidad: posibilidad de añadir nuevas funciones según el objetivo
- Persistencia limitada: algunos infostealers priorizan rapidez sobre permanencia
- Compatibilidad amplia: funcionan en múltiples entornos y aplicaciones
El robo de credenciales puede desencadenar consecuencias graves:
- Acceso no autorizado a cuentas personales y corporativas
- Compromiso de infraestructuras cloud completas
- Robo de datos sensibles o propiedad intelectual
- Uso de cuentas comprometidas para ataques adicionales
En muchos casos, el impacto se extiende mucho más allá del dispositivo inicial.
Indicadores de infecciónAlgunas señales que pueden indicar la presencia de un infostealer incluyen:
- Actividad inusual en cuentas online
- Inicios de sesión desde ubicaciones desconocidas
- Consumo inesperado de recursos en servicios cloud
- Alertas de seguridad en navegadores o plataformas
Para usuarios:
- Evitar descargar software de fuentes no confiables
- Utilizar autenticación multifactor (MFA)
- No guardar contraseñas sensibles en navegadores
- Mantener sistemas actualizados
Para empresas:
- Monitorizar accesos a servicios cloud
- Rotar claves API regularmente
- Implementar soluciones EDR
- Aplicar políticas de seguridad en endpoints
El auge de infostealers como CloudZ y Pheno confirma una tendencia clara: los atacantes están priorizando el acceso a identidades digitales y servicios cloud por encima de ataques destructivos.
En un mundo donde las credenciales son la nueva moneda, protegerlas se ha convertido en una prioridad absoluta.