Se trata de un software desarrollado en Rust, el lenguaje de programación de bajo nivel de moda, que se está convirtiendo también en uno de los favoritos de los creadores de malware gracias a su versatilidad, su naturaleza multiplataforma y sus capacidades de evasión frente a técnicas previas de ingeniería inversa.
Brendan Hohenadel, expero en ingeniería inversa de LARES Consulting, «otros lenguajes populares, como C ++, C # y .Net son fáciles de descompilar y realizar ingeniería inversa», pero en Rust el ejecutable se compila de una manera que lo convierte, a efectos prácticos, en «un agujero negro».
«Obtener información del ejecutable sin ejecutarlo en un sandbox o un entorno con software de monitorización se convierte en una tarea mucho más desafiante».
De hecho, varios grupos famosos de de ransomware, como Hive, Luna o BlackCat, se han subido en los últimos meses al barco de Rust por esas mismas razones. Casey Bisson, de BluBracket, afirma en declaraciones a The Register que Rust se está convirtiendo, cada vez más, en una plataforma común de desarrollo para nuevas amenazas:
«La novedad de la plataforma podría significar que muchos escáneres de software no están preparados para reconocer como amenazas las firmas de binarios generados con Rust».
-¿De qué forma ataca Luca Stealer cuando infecta tu PC?
Pero, ¿qué hace Luca Stealer una vez que infecta tu PC? Pues intentar detectar si está presente en el mismo algún navegador basado en Chromium (es capaz de detectar más de 30), para proceder a robar credenciales de inicio de sesión, cookies y datos de tarjetas de crédito.
Por ahora, este malware sólo se dirige contra sistemas Windows, pero no costará mucho adaptar su código a otros sistemas operativos
También es capaz de robar ficheros y credenciales de otras aplicaciones (sobre todo de mensajería, así como tiendas de juegos como Steam), pero también de varias billeteras de criptomonedas, e incluso de gestores de contraseñas como 1Password, LastPass y otra docena más.
Pero Luca Stealer se está propagando a gran velocidad: si no había rastro de él antes del pasado 3 de julio, cuando se filtró en un popular foro online de ciberdelincuenci, cuando Cyble Research Labs hizo pública su existencia 22 días más tarde, ya existían 25 muestras de malware basado en el código original circulando por Internet y afectando a equipos.
Todo ello gracias a su desembarco a GitHub, la famosa plataforma de repositorios de código que facilita la creación de ‘forks’. Según los investigadores de Cyble,
«El desarrollador de Luca Stealer parece ser nuevo en el foro de ciberdelitos, y probablemente fuera él mismo quien filtró el código fuente para construirse una reputación […] dicho desarrollador también ha proporcionado los pasos para modificar el Stealer, así como para compilar el código fuente para facilitar su uso».
Esta diversidad ha logrado dificultar aún más la detección de Lucas Stealer por parte de soluciones antimalware, hasta el punto de que su tasa de detección en VirusTotal es de poco más del 20%, lo que significa que casi 8 de cada 10 infecciones no están siendo detectadas.