Según una nueva investigación de Cybereason, una campaña en curso de un actor de amenazas no identificado ha estado implementando siete tipos diferentes de malware, incluido el ransomware, a la vez contra un estimado de 500.000 objetivos en los últimos meses para robar la mayor cantidad de dinero posible.
Los diferentes tipos de malware implementados a partir de este solo actor, que les permite robar datos confidenciales del navegador, cookies, información del sistema, información de token de autenticación de dos factores para evitar 2FA y criptomonedas de billeteras digitales, no tienen precedentes. Lior Rochberger, un analista de seguridad en Cybereason, y Assaf Dahan, jefe de investigación de amenazas en Cybereason, ambos publicaron sus hallazgos.
«La combinación de tantos tipos diferentes de malware que filtran tantos tipos diferentes de datos puede dejar a las organizaciones inviables», escriben Rochberger y Dahan. «Esta amenaza puede comprometer la seguridad del sistema, violar la privacidad del usuario, dañar el rendimiento de la máquina y causar un gran daño a individuos y corporaciones al robar y difundir información confidencial, todo antes de infectarlos con ransomware«.
Según Cybereason
Los atacantes hacen que su esquema funcione explotando la plataforma de repositorio de código BitBucket para almacenar y dispersar el malware.
«Es una tendencia continua con los ciberdelincuentes donde abusan de plataformas legítimas de almacenamiento en línea como Github, Dropbox, Google Drive y BitBucket para distribuir malware básico», escribieron Rochberger y Dahan en la publicación del blog.
La campaña es relativamente nueva: apareció en la telemetría de Cybereason en diciembre del año pasado, dijo Dahan a CyberScoop. Pero el objetivo final del esfuerzo parece ser el dinero.
«Los atacantes no están satisfechos con una carga útil, quieren usar múltiples para maximizar sus ingresos», escriben los investigadores.
Esquema del atacante
Los atacantes están ejecutando su esquema apuntando a personas que buscan productos comerciales gratuitos en Internet, como Adobe Photoshop. Los actores de la amenaza los empaquetarán con múltiples cepas de malware. Uno de ellos, como Azorult, que roba información y elimina su binario para borrar los rastros de una infección.
«Las aplicaciones legítimas son una forma fácil y confiable para que los atacantes entren y propaguen malware dentro de una organización», escriben los investigadores.
Poco después de que Azorult comienza a robar información, el malware Predator the Thief roba contraseñas de los navegadores. También toma fotos y capturas de pantalla de las máquinas de las víctimas y roba criptomonedas de las billeteras digitales. El malware Thief puede conectarse con BitBucket para descargar más cargas útiles. STOP Ransomware, por ejemplo, un minero Monero y Vidar, que puede robar el historial del navegador web, billeteras digitales, tokens de autenticación de dos factores y capturas de pantalla.
Y aunque los investigadores han determinado qué malware utilizan los atacantes, Dahan le dijo a CyberScoop que no está del todo claro quién está detrás del robo.
«Es difícil estimar quién es el actor de la amenaza detrás de esta campaña, porque todo el malware observado en la campaña cae dentro de lo que llamamos malware «básico». Eso significa que casi cualquiera puede comprarlos en las comunidades subterráneas”, dijo Dahan.
¿Qué es Bitbucket?
Bitbucket es un servicio de alojamiento basado en web, para los proyectos que utilizan el sistema de control de versiones Mercurial y Git. Bitbucket ofrece planes comerciales y gratuitos. Se ofrece cuentas gratuitas con un número ilimitado de repositorios privados (que puede tener hasta cinco usuarios en el caso de cuentas gratuitas) desde septiembre de 2010. Los repositorios privados no se muestran en las páginas de perfil, si un usuario sólo tiene depósitos privados, el sitio web dará el mensaje «Este usuario no tiene repositorios». El servicio está escrito en Python.
Origen: 500,000 víctimas golpeadas en el esquema de malware BitBucket de múltiples etapas
