Los piratas informáticos apuntan a las grietas de software y al cliente BitTorrent para robar datos del navegador y criptomonedas

Investigadores de la empresa de ciberseguridad Bitdefender han advertido que los piratas informáticos están explotando activamente las grietas de software en versiones pirateadas de Microsoft Office y Adobe Photoshop CC para vaciar las billeteras de criptomonedas de las personas.

Los analistas de Bitdefender descubrieron recientemente una serie de ataques que aprovechan las herramientas de oficina y las grietas del software de edición de imágenes para comprometer computadoras, secuestrar carteras de criptomonedas y exfiltrar información a través de la red TOR.

“Una vez ejecutado, el crack suelta una instancia de ncat.exe (una herramienta legítima para enviar datos sin procesar a través de la red) así como un proxy TOR”, dijo Bogdan Botezatu de Bitdefender, Director de Investigación de Amenazas e Informes e Investigador de Seguridad Eduard Budaca a entrada en el blog.

Estos archivos se colocan en el almacenamiento del sistema identificado como ‘% syswow64% -nap.exe’ o ‘% syswow64% -ndc.exe’, y ‘% syswow64-tarsrv.exe’. También se coloca un archivo por lotes en ‘% syswow64% -chknap.bat’ que contiene una línea de comando para el componente Ncat dedicado a atravesar los puertos 8000 y 9000 en dominios .onion como se muestra a continuación.

Estas herramientas trabajan juntas para crear una puerta trasera poderosa que se comunica a través de TOR con su centro de comando y control: el binario ncat usa el puerto de escucha del proxy TOR (`–proxy 127.0.0.1: 9075`) y usa el estándar ‘–exec’ parámetro, que permite que todas las entradas del cliente se envíen a la aplicación y las respuestas se envíen al cliente a través del socket (comportamiento de shell inverso).

El crack también crea mecanismos de persistencia para el archivo proxy TOR y el binario Ncat en la máquina comprometida con un servicio y una tarea programada que se ejecuta cada 45 minutos.

Según la investigación de Bitdefender, lo más probable es que un operador humano utilice la puerta trasera de forma interactiva en lugar de enviar solicitudes automatizadas a las víctimas. Algunas de las acciones que fueron observadas por los investigadores son:

  • Exfiltración de archivos
  • Ejecución del cliente BitTorrent para exfiltrar datos
  • Deshabilitar el firewall en preparación para la exfiltración de datos
  • Robo de datos de perfil del navegador Firefox (historial, credenciales y cookies de sesión). Antes de la exfiltración, los atacantes archivan la carpeta del perfil con 7zip para generar un archivo que contiene todo.
  • Robo de la billetera Monero a través del cliente CLI legítimo ‘monero-wallet-cli.exe’.

La lista de acciones anterior no es exhaustiva, ya que los atacantes tienen un control completo del sistema y pueden adaptar las campañas en función de sus intereses actuales.

Según Bitdefender, este tipo de grietas cargadas de malware afectan principalmente a las personas que descargan archivos de sitios web que tienen poco o ningún control.

“Estas grietas generalmente se alojan en sitios web de descarga directa en lugar de en portales de torrents, ya que estos últimos tienen una comunidad que vota negativamente y marca las cargas maliciosas”, dijo Botezatu a TF.

Actualmente, la distribución de estas grietas se encuentra principalmente en Estados Unidos, India, Canadá, Grecia, Alemania, Italia, España, Sudáfrica y Reino Unido. Para obtener más información sobre los archivos y procesos involucrados, puede leer el artículo completo de Bitdefender aquí.

Leave a Reply

Your email address will not be published. Required fields are marked *