Investigadores exploran VirusTotal para encontrar credenciales robadas (y mucho más)
Investigadores de SafeBreach utilizar VirusTotal para recopilar grandes cantidades de credenciales sin infectar a una organización ni comprarlas en línea. Los investigadores encontraron un método para recopilar grandes cantidades de credenciales de usuario robadas mediante el uso de APIs y la ejecución de búsquedas en VirusTotal, el servicio en línea utilizado para analizar archivos y URL sospechosos.
El proceso de los investigadores para usar cada una de estas herramientas se detalla en un informe de sus hallazgos: El cibercrimen "perfecto".
Con una licencia de VirusTotal de 600 € (alrededor de 679 dólares) y algunas herramientas, el equipo de investigación de SafeBreach recopiló más de un millón de credenciales utilizando esta técnica. El objetivo era identificar los datos que un delincuente podría recopilar con una licencia de VirusTotal, que es propiedad de Google y brinda un servicio gratuito que se puede usar para cargar y verificar archivos y enlaces sospechosos utilizando varios motores antivirus.
Un usuario con licencia en VirusTotal puede consultar el conjunto de datos del servicio con una combinación de consultas por tipo y nombre de archivo, datos enviados, país y contenido del archivo, entre otros. El equipo de SafeBreach creó la idea del "VirusTotal Hacking" basado en el método de "Google Hacking", que los delincuentes (e investigadores) usan para buscar sitios web vulnerables, dispositivos de Internet de las cosas, shells web y fugas de datos confidenciales.
Muchos ladrones de información recopilan credenciales de diferentes foros, cuentas de correo, navegadores y otras fuentes, y las escriben en un nombre de archivo fijo y codificado, por ejemplo, "all_credentials.txt", luego extraen este archivo del dispositivo de la víctima y lo suben a su servidor de C&C. Usando este método, los investigadores tomaron herramientas y API de VirusTotal, como búsqueda, VirusTotal Graph y Retrohunt, y las usaron para encontrar archivos que contenían datos robados.
"Es una técnica bastante sencilla, que no requiere una gran comprensión del malware", dice Tomer Bar, director de investigación de seguridad de SafeBreach. "Todo lo que necesita es elegir uno de los ladrones de información más comunes y leer sobre él en línea".
Los investigadores realizaron su investigación utilizando malware conocido, incluidos RedLine Stealer, Azorult, Raccoon Stealer y Hawkeye, así como foros conocidos como DrDark y Snatch_Cloud para robar datos confidenciales. Descubrieron que su método funciona a escala.
RedLine Stealer es una forma de malware que se vende en foros clandestinos a través de una compra o suscripción independiente. Utiliza navegadores para recopilar datos como credenciales guardadas, datos de autocompletado y detalles de tarjetas de crédito. Cuando se ejecuta en una máquina de destino, el malware realiza un inventario del sistema que incluye información como el nombre de usuario, los datos de ubicación, la configuración del hardware y los detalles del software de seguridad. RedLine Stealer puede cargar y descargar archivos y ejecutar comandos.
Para empezar, los investigadores utilizaron VirusTotal Query para buscar archivos binarios identificados por al menos un motor antivirus como RedLine, que arrojó 800 resultados. También buscaron archivos llamados DomainDetects.txt, que es uno de los nombres de archivo que extrae el malware. Esto devolvió cientos de archivos exfiltrados.
Luego recurrieron a VirusTotal Graph, que permite a los usuarios con licencia de VirusTotal explorar visualmente el conjunto de datos. Allí, los investigadores encontraron un archivo de sus resultados de búsqueda que también se incluyó en un archivo RAR que contenía datos extraídos pertenecientes a 500 víctimas, incluidas 22.715 contraseñas de muchos sitios web diferentes. Los resultados adicionales incluyeron archivos aún más grandes, que contenían más contraseñas. Algunas eran para direcciones URL relacionadas con el gobierno, anotaron los investigadores.
Si bien hay muchos ladrones de información para elegir, los investigadores eligieron cinco de uso común debido a sus mayores probabilidades de encontrar archivos extraídos por ellos en el conjunto de datos de VirusTotal.
El equipo de SafeBreach aprendió y mejoró sus consultas mientras exploraba VirusTotal, dice Bar. Por ejemplo, encontraron que algunos atacantes comprimen los datos de las víctimas en un archivo grande. VirusTotal ofrece una forma de buscar archivos comprimidos que contengan nombres de archivo fijos y codificados, por lo que cuando encontraron un solo archivo, también encontraron datos robados pertenecientes a cientos de víctimas, explica.
"Un delincuente que usa este método puede recopilar una cantidad casi ilimitada de credenciales y otros datos confidenciales del usuario con muy poco esfuerzo en un corto período de tiempo utilizando un enfoque libre de infecciones", escribieron los investigadores en su publicación de blog. "Lo llamamos el ciberdelito perfecto, no solo por el hecho de que no hay riesgo y el esfuerzo es muy bajo, sino también por la incapacidad de las víctimas para protegerse de este tipo de actividad".
Los investigadores se comunicaron con Google con sus hallazgos y solicitaron los archivos que contenían datos personales de VirusTotal. También recomendaron buscar y eliminar periódicamente archivos con datos confidenciales del usuario y prohibir las claves API que cargan esos archivos.
SafeBreach también aconsejó a Google que agregue un algoritmo que no permita la carga de archivos con datos confidenciales que contengan texto sin formato o archivos cifrados con la contraseña de descifrado adjunta, en texto o una imagen.
Fuente: DarkReading
Gracias por la info. Como siempre
ResponderBorrar