Darkish Utilities C2 como herramienta de servicio aprovecha IPFS, apunta a varios sistemas operativos


Un nuevo comando y control como servicio permite a los ciberdelincuentes controlar fácilmente las computadoras de las víctimas y ejecutar minería de criptomonedas, ataques DDoS y brindar acceso completo a los sistemas.

Dark Utilities C2 como servicio.
Imagen: Adobe Stock

Algunos ciberdelincuentes altamente calificados han decidido producir diferentes servicios que venden a sus pares menos calificados. Abriendo la puerta a los ciberdelincuentes de nivel de entrada para ejecutar con éxito operaciones fraudulentas en Internet y estafar a las personas o robarles dinero.

En el underground cibercriminal han aparecido muchos productos “como servicio”, por lo que hoy en día casi cualquier persona que quiera subirse al carro de los cibercriminales puede hacerlo, con la única condición de tener suficiente dinero inicial para comprar dichos servicios.

C2 como servicio

Cisco Talos publicó una nueva investigación sobre una nueva plataforma denominada “Utilidades oscuras” por su autor. Esta plataforma se lanzó a principios de 2022 y su objetivo es proporcionar capacidades de comando y handle (C2) con todas las funciones a los ciberdelincuentes por $ 10,30 (9,99 euros), que es un costo muy bajo. La plataforma ha inscrito a unos 3.000 usuarios, lo que genera aproximadamente 30.951 dólares (30.000 euros) en ingresos para las personas que están detrás del servicio.

Capacidades de utilidades oscuras

Dark Utilities proporciona varias funcionalidades (Figura A).

Figura A

Capacidades de Dark Utilities anunciadas por sus propietarios.
Capacidades de Dim Utilities anunciadas por sus propietarios. Imagen: Cisco Talos

Dim Utilities proporciona un código que debe ejecutarse en el sistema de un objetivo, lo que significa que el atacante ya debe haber comprometido el sistema y tener acceso a él. La documentación proporcionada por la plataforma brinda orientación para realizar un reconocimiento e identificar/explotar vulnerabilidades para infectar servidores que se pueden agregar a Dark Utilities. Por supuesto, es posible que un atacante sin habilidades particulares compre acceso a sistemas comprometidos del ciberdelito clandestino y use Darkish Utilities con él.

Una vez ejecutado, el payload registra el servicio y establece un canal de comunicación C2.

Dos tipos de ataques de denegación de servicio distribuido (DDoS) son posibles utilizando Dark Utilities: Layer 4, que admite protocolos de crimson TCP/UDP/ICMP, así como algunos otros protocolos diseñados específicamente para varias plataformas de juegos como Teamspeak3, Fivem, Gmod , Valve y algunos videojuegos.

El tipo de Capa 7 admite los métodos GET/Submit/HEAD/PATCH/Set/DELETE/Selections/Join (Figura B).

Figura B

La interfaz DDoS de Dark Utilities admite dos tipos diferentes de DDoS.
La interfaz DDoS de Dim Utilities admite dos tipos diferentes de DDoS. Imagen: Cisco Talos

Una funcionalidad de minería de criptomonedas también está disponible en Darkish Utilities. Es bastante sencillo, ya que solo permite minar la criptomoneda Monero y solo solicita que funcione la dirección de la billetera Monero de los ciberdelincuentes (Figura C).

Figura C

Funcionalidad de criptominería como se muestra en Dark Utilities.
Funcionalidad de criptominería como se muestra en Dim Utilities. Imagen: Cisco Talos

Darkish Utilities también proporciona una forma de ejecutar comandos en múltiples sistemas de forma distribuida y proporciona un capturador de Discord (Figura D).

Figura D

Dark Utilities proporciona capturador de Discord distribuido y ejecución de línea de comandos.
Darkish Utilities proporciona capturador de Discord distribuido y ejecución de línea de comandos. Imagen: Cisco Talos

Panel de utilidades oscuras

La plataforma Dim Utilities hace un uso intensivo de Discord. Se utiliza para la autenticación del usuario antes de proporcionar un tablero al usuario. Muestra estadísticas básicas como el estado de salud del servidor y la latencia (Figura E).

Figuras E

Estadísticas y métricas proporcionadas en el panel de Dark Utilities.
Estadísticas y métricas proporcionadas en el panel de Dim Utilities. Imagen: Cisco Talos

También se proporciona un panel administrativo de administrador para manejar todas las máquinas comprometidas que pertenecen a la purple de bots (Figura F).

Figura F

Panel administrativo para controlar todas las máquinas comprometidas.
Panel administrativo para controlar todas las máquinas comprometidas. Imagen: Cisco Talos

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

Cargas útiles de IPFS

Para registrar con éxito una máquina recientemente comprometida, se debe generar e implementar una carga útil en la computadora de la víctima.

La versión real de Darkish Utilities permite a los atacantes lanzar cargas útiles en varios sistemas operativos diferentes: implementación basada en Linux, Windows y Python. La plataforma también es appropriate con las arquitecturas ARM64 y ARMV71, que describen como útiles para apuntar a dispositivos integrados como enrutadores, teléfonos y dispositivos de Internet de las cosas (IoT).

Sin embargo, uno de los aspectos más avanzados de Darkish Utilities radica en el alojamiento de estas cargas útiles, ya que en realidad se almacenan en el Sistema de archivos interplanetarios (IPFS), sobre el cual TechRepublic escribió recientemente. IPFS es una red peer-to-peer distribuida que funciona sin necesidad de instalar ninguna aplicación cliente. Se accede a los archivos IPFS a través de Puertas de enlace IPFS, y hacen que sea realmente difícil eliminar datos. Se considera un «alojamiento a prueba de balas», ya que la única forma de eliminar esos datos de Net es quitarlos de cada puerta de enlace que los comparte.

Los investigadores de Talos mencionan que «han observado que los adversarios utilizan cada vez más esta infraestructura para el alojamiento y la recuperación de la carga útil» y parece que los ciberdelincuentes expertos harán un uso cada vez mayor de esa tecnología para almacenar su contenido malicioso, ya sean páginas de phishing o cargas útiles de malware.

¿Quién está detrás de Dark Utilities?

El apodo «inplex-sys» parece manejar Dim Utilities, pero no hay indicios de que esta persona realmente desarrolle la plataforma. Según Talos, la persona no tiene una larga historia en el espacio clandestino cibercriminal y limita sus actividades a plataformas de mensajería/bot como Telegram y Discord. Además, Dim Utilities se anunció dentro del grupo Lapsus$ poco después de su lanzamiento inicial.

El mismo apodo también se ha utilizado en la tienda de videojuegos Steam, publicidad de Dim Utilities y algunas otras herramientas fraudulentas destinadas a realizar ataques de spam en las plataformas Discord y Twitch o administrar servidores.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

¿Cómo protegerse de esta amenaza?

Los atacantes que usan Darkish Utilities necesitan encontrar una manera de comprometer las computadoras por su cuenta. La higiene básica puede evitar compromisos:

  • Mantenga los sistemas operativos y el program siempre actualizados y parcheados, para evitar caer en vulnerabilidades comunes.
  • Implemente herramientas de seguridad en puntos finales y servidores y manténgalas siempre actualizadas.
  • Ejecute auditorías de seguridad periódicas y solucione cualquier vulnerabilidad que pueda surgir.

Divulgación: Trabajo para Pattern Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia original