Detección de stealers vigilando archivos valiosos

Abstract

El malware, particularmente los stealers, representa una amenaza significativa al robar credenciales, datos bancarios y otra información sensible, permitiendo a los ciberdelincuentes obtener ganancias o acceso a redes corporativas. Existen múltiples soluciones que intentan detectar y detener los problemas que estos programas maliciosos generan. Muchos de ellos usan diversas técnicas como Machine Learning (ML), heurísticas, etc. pero aún no se concentran en el problema de los stealers. Esta investigación propone una solución basada en la detección de accesos anómalos a archivos estratégicamente vigilados, lo que permite identificar el comportamiento de los stealers en tiempo real. Para ello, se desarrolló un agente con configuración flexible que monitorea los accesos a archivos valiosos y clasifica los eventos registrados como benignos o sospechosos. Esta solución se diseñó para operar en un entorno simplificado pero representativo, demostrando su efectividad como una nueva estrategia de defensa en profundidad. Para la implementación, se configuraron auditorías avanzadas en Windows 10 y se implementó un agente en Go que se suscribe a los eventos de seguridad del sistema operativo para detectar accesos no autorizados. Las pruebas incluyeron tanto stealers conocidos como nuevas variantes, validando la capacidad del agente para identificar amenazas emergentes. Los resultados muestran que la solución propuesta supera a los antivirus tradicionales, que a menudo no detectan estas amenazas modernas. Por ende, se ofrece una nueva capa de defensa eficaz, mejorando la seguridad frente a los stealers.

Malware, particularly stealers, represents a significant threat by stealing credentials, banking data, and other sensitive information, allowing cybercriminals to gain profits or access corporate networks. Several solutions attempt to detect and stop the problems caused by these malicious programs. Many of these use techniques such as Machine Learning (ML), heuristics, etc., but they still do not focus on the issue of stealers. This research proposes a solution based on the detection of anomalous access to strategically monitored files, allowing the identification of stealer behavior in real time. To achieve this, an agent with a flexible configuration was developed to monitor access to valuable files and classify the recorded events as benign or suspicious. This solution was designed to operate in a simplified yet representative environment, demonstrating its effectiveness as a new defense-in-depth strategy. For the implementation, advanced auditing was configured in Windows 10, and an agent written in Go was deployed to subscribe to the operating system’s security events to detect unauthorized access. The tests included both known stealers and new variants, which validated the agent’s ability to identify emerging threats. The results show that the proposed solution outperforms traditional antivirus software, which often fails to detect these modern threats. Therefore, it provides a new, effective layer of defense, improving security against stealers.