Se ha descubierto una nueva tendencia en los engaños informáticos y esta vez es de hackers que roban a otros hackers. Los analistas de seguridad de dos empresas han detectado varios casos de piratas informáticos que atacan a otros a través de foros frecuentados por hackers, como "Russia black hat", dando bombo a programas que, en realidad, contienen malware.
Por un lado, el malware que se propaga se esconde en RATs crackeadas (es decir, ejecución remota de código o troyano, o Remote Access Trojan) o en herramientas para crear nuevo malware. Todo apunta a que los hackers más expertos tienen como sus potenciales víctimas a otros que están comenzando o aprendiendo y que usan estos foros para conseguir programas que les ayuden a propagar software.
Es decir, un ciberdelincuente ofrece programas, un hacker lo compra para infectar a terceros, pero resulta ser él quien cae en esa trampa puesta por otros con más experiencia. Los actores de amenazas inexpertos quieren aprovechar la oportunidad de acceder a malware gratuito que encuentran en sitios de la DarkWeb o poco moderados y los ejecutan en sus sistemas.
Versiones crackeadas de BitRAT y Quasar RAT
Investigadores de ASEC observaron ofertas falsas de secuestradores de portapapeles en foros de hacking en los que los delincuentes buscan atraer a aspirantes a hackers con versiones crackeadas de BitRAT y Quasar RAT. Ambos son malware de consumo que normalmente tienen un precio de entre 20 y 100 dólares.
Quienes intentan descargar alguno de los archivos ofrecidos, son dirigidos a una página de Anonfiles que entrega un archivo RAR que es un constructor del malware seleccionado. Tras esto, han descubierto que el archivo "crack.exe" que viene en estos archivos es, en realidad, un instalador de ClipBanker, que copia el binario malicioso a la carpeta de inicio y lo ejecuta en el primer reinicio. Por tanto, quien se infecta es el hacker.
Un mes gratis de AvD Crypto Stealer
Un segundo informe sobre esta técnica llega desde la empresa Cyble: los analistas encontraron en un foro de cibercrimen una oferta de un mes gratis de AvD Crypto Stealer. También en este caso, las víctimas descargan lo que supuestamente es un constructor de malware. Pero al descargarlo, se lanza un ejecutable llamado 'Payload.exe', suponiendo que esto les dará acceso gratuito al Crypto Stealer.
Luego, este software malicioso identifica direcciones de monederos de criptodivisas o criptocarteras y las reemplaza por una que pertenezca al operador del malware.
Esta acción acaba infectando sistemas con un clipper que tiene como objetivo Ethereum, Binance Smart Chain, Fantom, Polygon, Avalanche y Arbitrum. Cyble ha descubierto una dirección de Bitcoin codificada ha recibido 1,3 BTC (unos 54.000 dólares) tras haber secuestrado 422 transacciones.
Ver 1 comentarios