Estofado de malware cocinado en Bitbucket, desplegado en ataques en todo el mundo


Botnet secuestrado: alguien está jugando con el malware Phorpiex
Alguien está desinstalando el malware Phorpiex de las Laptop infectadas y les dice a los usuarios que instalen un antivirus

Bitbucket es el último proveedor de alojamiento legítimo que los ciberdelincuentes abusan para difundir malware.

en un Campaña revelados por los investigadores de Cybereason, Lior Rochberger y Assaf Dahan, el miércoles, los actores de amenazas están entregando activamente un «número sin precedentes de tipos de malware» en una nueva ola de ataques internacionales.

Todo el malware ha sido alojado en Bitbucket. Cuando se abusa de los servicios de alojamiento legítimos, incluidos Google Drive, GitHub y Dropbox, generalmente es un asunto rápido que los usuarios denuncien y eliminen archivos maliciosos, pero en este caso, la empresa de seguridad cibernética dice que hay una gran variedad de perfiles de usuarios usar y se actualizan regularmente, a veces tan a menudo como cada hora, para evitar interrumpir las operaciones criminales.

Según el informe, más de 500,000 máquinas han sido infectadas por el malware utilizado en esta campaña hasta el momento, y los ataques no muestran signos de detenerse.

Ver también: Los proveedores de antivirus introducen soluciones para el método de ataque EFS ransomware

Las familias de malware en uso son extensas. El primero es Predator, una variante de malware que roba información, primero observado por Fortinet en 2018 después de hacer rondas en foros subterráneos rusos. Predator, escrito en C / C ++, puede robar datos, incluida la información del sistema y las credenciales del navegador, comprometer las cámaras net y reemplazar las direcciones de billetera de criptomonedas en el búfer. El malware ha sido reescrito recientemente para dejarlo sin archivos.

Azorult es el siguiente. primero descubierto en 2016, esta variedad de malware es otro ladrón de información que también puede establecer una conexión de Protocolo de escritorio remoto (RDP) a través de la creación oculta de cuentas de administrador en máquinas infectadas. Azorult a menudo se propaga a través del package de exploits Fallout.

Un gotero también está en uso. Conocido como el minero evasivo de Monero, el cuentagotas se united states para desplegar un minero de criptomonedas XMRig que «utiliza técnicas avanzadas de evasión para extraer Monero y permanecer fuera del radar», según el equipo.

CNET: Los adolescentes han descubierto cómo meterse con el algoritmo de seguimiento de Instagram

El ransomware, una forma particularmente perjudicial de malware que recientemente llegó a las noticias después de detener a Travelex durante semanas, también aparece en el arsenal de los ciberatacantes. La forma que han elegido implementar se llama Cease, que según los informes exige entre $ 300 y $ 600 de las víctimas Cybereason dice que Prevent también puede descargar cargas de malware adicionales.

Si esto no fuera suficiente, ahora entra Vidar, El program espía C ++ que puede buscar en máquinas comprometidas archivos particulares para robar, capturar identificaciones e historiales de cookies del navegador, manipular billeteras de criptomonedas, tomar capturas de pantalla e interceptar potencialmente las protecciones 2FA, entre otras funciones. IntelRapid también se ha relacionado con la campaña, un ladrón de criptomonedas capaz de comprometer diferentes formas de billetera.

los Amadey bot también está presente pero a diferencia de algunas de las otras variantes de malware mencionadas, es un simple bot troyano utilizado para el reconocimiento en las máquinas de destino. Los kits de exploits RigEK y Fallout han distribuido Amadey en el pasado.

TechRepublic: 4 tendencias clave para golpear la industria de la ciberseguridad en 2020

Themida y CypherIT Autoit se utilizan como empacadores en un intento de evitar la detección o el análisis.

El vector de infección comienza con correos electrónicos de phishing mejorados mediante ingeniería social o la descarga de application descifrado.

screenshot-2020-02-04-at-18-05-08.png

La atribución, como en muchos casos, es una propuesta difícil, pero el equipo continúa rastreando activamente a los operadores. Cybereason contactó a Bitbucket con los hallazgos de la firma y la compañía está investigando. Assaf Dahan, director senior de caza de amenazas en Cybereason, le dijo a ZDNet que los archivos han sido eliminados por ahora.

«Los atacantes continúan abusando de las plataformas legítimas de almacenamiento en línea para su propio beneficio. Con paralelos inmediatos a los beneficios de los binarios que viven fuera de la tierra, las aplicaciones legítimas son una forma fácil y confiable para que los atacantes ingresen y propaguen malware dentro de una organización, «dicen los investigadores. «Estos atacantes infectan la máquina objetivo con siete tipos diferentes de malware para obtener la mayor cantidad de datos confidenciales posible, junto con las capacidades de minero y ransomware. Este ataque es el epítome de» tener su pastel y comérselo también «, con los atacantes colocando malware para impacto máximo «.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique