La campaña de años de duración se dirige a los piratas informáticos a través de herramientas de piratería troyanizadas


hacking-campaign-malware-botnet-graph.png

Durante los últimos años, un grupo misterioso ha estado produciendo herramientas de piratería troyanizadas casi a diario, herramientas destinadas a infectar a otros piratas informáticos y obtener acceso a sus computadoras.

De acuerdo a un informe publicado hoy por la firma de seguridad cibernética Cybereason, las herramientas troyanizadas se infectaron con una versión del malware njRAT que le dio al grupo misterioso acceso total a las computadoras de otros piratas informáticos.

«Para mí, parece que alguien, o un grupo de personas, está haciendo un atajo bastante inteligente para acceder a más máquinas», dijo Amit Serper, vicepresidente de estrategia de seguridad de Cybereason. ZDNet.

«En lugar de hackear activamente las máquinas, simplemente trojanice las herramientas, extiéndalas de forma gratuita y piratee a las personas que usan las herramientas», dijo Serper, refiriéndose a una vieja táctica en la escena del delito cibernético donde los piratas informáticos roban los datos pirateados de sus rivales.

Miles de herramientas de piratería troyanizadas, que se remontan a años

Serper dijo que el equipo de investigación de Cybereason Nocturnus rastreó más de 1,000 muestras de njRAT mientras investigaba las actividades de este grupo, pero que la campaña parecía mucho más grande y amplia de lo que encontraron.

Las muestras trojanizadas se remontan a años, y Serper dice que se publican nuevas iteraciones casi a diario.

Según Cybereason, las herramientas de backdoo se comparten en línea en foros de hackeo y weblogs dedicados a compartir herramientas de hacking gratuitas. Algunas de las aplicaciones trojanizadas son herramientas de piratería, mientras que otras son programas de crack que permiten a los posibles hackers usar herramientas de piratería comerciales sin pagar una licencia.

Las herramientas de pirateo que Cybereason encontró troyanizadas incluyen elementos similares a los raspadores de sitios, exploradores de exploits, generadores de dork de Google, herramientas para realizar inyecciones automáticas de SQL, herramientas para lanzar ataques de fuerza bruta y herramientas para verificar la validez de las credenciales filtradas.

antipublic-checker.png "height =" auto "width =" 370 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2020/03/10/4c72ee39-a449-4d47-a404-94f4eb5d2488 /resize/370xauto/d841030ec9eb13a8646ebc642a071140/antipublic-checker.png

Además, Cybereason también dice que encontró versiones troyanizadas del navegador Chrome, también con el mismo troyano de acceso remoto njRAT.

Sospechoso cerebro vietnamita

Según Serper, muchas de las aplicaciones troyanizadas que analizó el equipo de Cybereason se configuraron para volver a llamar a uno de los dos dominios. De los dos, el más utilizado fue el dominio capeturk.com, que Serper dijo que estaba registrado con las credenciales de un individuo vietnamita.

Si bien los detalles sobre los propietarios de dominios a menudo son falsos, especialmente cuando se utiliza un dominio en una campaña de malware, Serper también señaló que muchas de las herramientas de piratería troyanizadas se cargaron en el motor de escaneo de malware VirusTotal desde una dirección IP vietnamita.

Según Serper, el grupo de hackers parece haber estado probando la tasa de detección de sus muestras de malware en VirusTotal antes de implementarlas en foros de hackeo, sus blogs y en otros lugares.

Sin embargo, el uso de una IP vietnamita para las cargas de VirusTotal, en relación con los detalles del dominio, es un fuerte indicador de que la pandilla tiene su foundation en el país, dijo Cybereason.

Una vieja táctica

En basic, las tácticas del grupo no son nuevas, per se. Otros hackers han pensado tomar atajos en sus carreras al poner puertas traseras en herramientas de pirateo que luego publicaron de forma gratuita.

Por ejemplo, un informe de prueba de 2016 también encontró una gran colección de kits de phishing retroactivos que se anuncian a través de video clips de YouTube, kits de phishing que enviaron copias de los datos de phishing a sus autores originales.

La táctica es bastante común y es una forma simple de obtener acceso a datos pirateados sin realizar ningún tipo de pirateo extenso. La strategy es dejar que otros piratas informáticos descarguen la herramienta de piratería, pasen semanas recolectando datos y luego robándolos utilizando una puerta trasera, en este caso, el troyano de acceso remoto njRAT.



Enlace a la noticia unique