Robador de información basado en Go ‘Aurora’ encuentra favor entre los actores de amenazas cibernéticas



Un número creciente de grupos de ciberdelincuentes están recurriendo a un ladrón de información llamado Aurora, que se basa en el lenguaje de programación de código abierto Go, para apuntar a datos de navegadores, billeteras de criptomonedas y sistemas locales.

Un equipo de investigación de la firma de seguridad cibernética Sekoia descubrió al menos siete actores maliciosos, a los que se refiere como «traficantes», que agregaron a Aurora a su arsenal de ladrones de información. En algunos casos, también se united states of america junto con los ladrones de información Redline o Raccoon.

Más de 40 billeteras de criptomonedas y aplicaciones como Telegram han sido atacadas con éxito hasta el momento, según el informe, que destacó el estado relativamente desconocido de Aurora y su naturaleza esquiva como ventajas tácticas.

Aurora fue descubierta por primera vez por la compañía en julio y se cree que se promocionó en foros de habla rusa desde abril, donde se promocionaron sus funciones de acceso remoto y capacidades avanzadas de robo de información.

«En octubre y noviembre de 2022, varios cientos de muestras recolectadas y docenas de servidores C2 activos contribuyeron a confirmar SEKOIA.IO[‘s] evaluación previa de que el ladrón de Aurora se convertiría en un ladrón de información frecuente», la publicación del blog de la compañía explicado. «A medida que múltiples actores de amenazas, incluidos los equipos de traficantes, agregaron el malware a su arsenal, Aurora Stealer se está convirtiendo en una amenaza destacada».

El informe también señaló que los actores de amenazas cibernéticas lo han estado distribuyendo utilizando múltiples cadenas de infección. Estos abarcan toda la gama, desde sitios website de phishing que se hacen pasar por legítimos, hasta videos de YouTube y sitios web falsos de «catálogo de computer software libre».

«Estas cadenas de infección aprovechan las páginas de phishing que se hacen pasar por páginas de descarga de software package legítimo, incluidas las billeteras de criptomonedas o las herramientas de acceso remoto, y el método 911 que utiliza films de YouTube y sitios website falsos de descarga de software program pirateado con Search engine marketing», continuó la publicación del blog.

El análisis de la compañía también destaca dos cadenas de infección que actualmente distribuyen al ladrón de Aurora en la naturaleza, una a través de un sitio de phishing que se hace pasar por Exodus Wallet y otra de un video de YouTube de una cuenta robada sobre cómo instalar computer software descifrado de forma gratuita.

El malware utiliza una configuración very simple de captura de archivos para recopilar una lista de directorios para buscar archivos de interés. Luego se comunica mediante una conexión TCP en los puertos 8081 y 9865, siendo el 8081 el puerto abierto más extendido. Los archivos exfiltrados luego se codifican en foundation64 y se envían al servidor de comando y handle (C2).

Los datos recopilados se ofrecen a precios elevados en varios mercados a los ciberdelincuentes que buscan llevar a cabo lucrativas campañas de seguimiento, en las llamadas operaciones de «caza mayor» que persiguen a grandes empresas y objetivos del sector gubernamental, según los investigadores.

Malware de código abierto en aumento en popularidad

Un número creciente de actores maliciosos está creando malware y ransomware con lenguajes de programación de código abierto como Go, que ofrece una mayor flexibilidad.

La capacidad multiplataforma de Go permite compilar una única foundation de código en todos los principales sistemas operativos. Esto facilita que los actores de amenazas, como los que están detrás de BianLian, realicen cambios constantes y agreguen nuevas capacidades a un malware para evitar la detección.

Los operadores del ransomware multiplataforma BianLian han aumentado su infraestructura C2 en los últimos meses, lo que indica una aceleración en su ritmo operativo.

Los lenguajes de programación poco comunes, incluidos Go, Rust, Nim y DLang, también se están convirtiendo en los favoritos entre los autores de malware que buscan eludir las defensas de seguridad o abordar los puntos débiles en su proceso de desarrollo, según un informe del año pasado de BlackBerry.



Enlace a la noticia original