Movilidad

Credential Harvesting Malware aparece en la web profunda

0 0 4 minutos de lectura
Credentials harvesting phishing stock image.

Recopile imágenes de credenciales para phishing.Imagen: Adobe Stock/Wunder Bild

Los recolectores de credenciales centrados en la nube y las utilidades de spam utilizadas para extraer ilegalmente el nombre de usuario, la contraseña y las bases de datos de correo electrónico de una organización están en aumento. Se estima que para fines de 2023 se habrán robado más de 24 mil millones de credenciales. La empresa de análisis forense en la nube y respuesta a incidentes Cado Security ha detectado una herramienta de extracción en la naturaleza, un malware basado en Python que Cado llama Legion, que facilita el lanzamiento de compromisos de correo electrónico comercial y otros ataques a escala.

Salta a:

Usuarios de operadores móviles no deseados

Según Cado, Legion apunta a varios servicios de explotación de correo electrónico, y su investigación sugiere que Legion puede estar relacionado con la familia de malware AndroxGh0st que se informó por primera vez en diciembre de 2023. Actores de amenazas a través de Telegram Messenger (Figura A).

Figura A

Página de bienvenida de la Legión.Página de bienvenida de la Legión.Imagen: Seguridad de Cado

Según una nueva investigación de Cado, Legion utiliza servidores que ejecutan sistemas de gestión de contenido, preprocesadores de hipertexto (o PHP) y marcos basados ​​en PHP para adquirir proveedores de correo electrónico, proveedores de servicios en la nube, sistemas de gestión de servidores, bases de datos y plataformas de pago (como Stripe y PayPal). También puede secuestrar mensajes SMS y comprometer las credenciales de Amazon Web Services, y enviar mensajes de texto no deseados a usuarios de AT&T, Sprint y Verizon.

LEER  La nueva aplicación de detección y prueba de COVID-19 ayuda a simplificar el regreso seguro de los trabajadores

VER: Política de seguridad de dispositivos móviles (Tecnopedia Premium)

Publicaciones relacionadas

Legion parece ser parte de una nueva generación de herramientas de piratería diseñadas para automatizar el proceso de recopilación de credenciales para comprometer los servicios SMTP (protocolo de transferencia de correo electrónico y SMS), según el informe.

Obtenga números de teléfono y otros datos de las bibliotecas web

Según Matt Muir, un investigador de inteligencia de amenazas en Cado Security, el malware utiliza el raspado web de Python para crear listas de números de telecomunicaciones o específicos del área para apuntar.

«El raspado es el proceso de extraer datos útiles (generalmente texto) de páginas web. En el caso de Legion, la popular biblioteca de raspado web de Python, BeautifulSoup, se usó para raspar números de teléfono del sitio web randomphonenumbers.com», dijo, y agregó Say it sends a mensaje al número utilizando las credenciales SMTP recuperadas durante la fase de recopilación de credenciales.

«El phishing sería un uso obvio para esta función, pero también podría usarse para operaciones generales de spam», dijo. «Si necesita enviar muchos mensajes de texto a números de teléfono aleatorios, Legion puede ayudarlo».

Los investigadores de Cado Labs también descubrieron un canal de YouTube llamado «Herramientas de Forza», que incluye la serie de tutoriales «instructivos» de Legion. Los investigadores dicen que el hecho de que el desarrollador Legion haya trabajado en la creación de la serie de videos sugiere que la herramienta se distribuye ampliamente y es probable que sea un malware pagado (Figura B).

Figura B

El canal de YouTube El canal de YouTube «Forza Tools» alberga videos tutoriales para Legion.Imagen: Seguridad de Cado

Legion comparte funcionalidad con otros paquetes de malware centrados en la nube

Muir dijo que si bien es difícil rastrear el origen de estas herramientas de malware centradas en la nube porque sus desarrolladores se roban el código entre sí, la funcionalidad y el código base de Legion son similares a Andr0xGhost y AlienFox, que fueron descubiertos y nombrados por Lacework y Sentinel Labs. respectivamente. .

«Estas familias de malware también se dirigen a los mismos servicios SMTP que Legion, incluido AWS SES», dijo, y agregó que las herramientas a menudo se distribuyen a través de Telegram, y su naturaleza las convierte en una amenaza para quienes buscan realizar una operación de spam o phishing de gran volumen. atractivo Según Muir, es probable que Legion se venda como una herramienta bajo un modelo de licencia perpetua a través de un pago único a los administradores del grupo de Telegram que promociona la herramienta. Este modelo de generación de ingresos es diferente de la suscripción o los pagos recurrentes comunes en las ofertas de malware como servicio, dijo.

«Si bien podemos suponer que no todos en estos grupos comprarán una licencia para el software, esto demuestra que existe una gran demanda de tales herramientas», dijo. «Incluso si la mitad de los miembros compraron una licencia y usaron la función de abuso de SMTP con fines de spam o phishing, no creo que sea razonable suponer que miles de usuarios se verían afectados».

En qué se diferencia Legion de otras herramientas de recopilación de credenciales

A diferencia de otros programas maliciosos de recolección de credenciales, Legion se enfoca en interrumpir los servicios SMTP y explotar los servicios web mal configurados para recolectar credenciales para el abuso.

«También incluye funciones adicionales que tradicionalmente se encuentran en las herramientas de piratería más comunes, como la capacidad de ejecutar código de explotación específico del servidor web y credenciales de cuenta de fuerza bruta», dijo Muir.

Agregó que Legion no explotará las nuevas vulnerabilidades. «La mayor parte del código de explotación que viene con la herramienta proviene de pruebas de concepto disponibles públicamente o se basa en el código de otras herramientas de seguridad ofensivas», dijo, y agregó que probablemente utilizó el motor de búsqueda Shodan, que permite a los usuarios buscar información. en la web: recopilar objetivos.

Usuario responsable de luchar contra Legión

Si bien los operadores pueden monitorear para identificar cuándo se envía spam masivo a través de su infraestructura, la mejor opción para los objetivos es informar los mensajes sospechosos de inmediato y obtener ayuda para identificar y mitigar los ataques de phishing, dijo Muir.

El informe establece que los proveedores de la nube como AWS y Azure no son responsables de estos ataques porque tienen un modelo de responsabilidad compartida que los usuarios están obligados a cumplir.

«Debido a que Legion se basó en configuraciones incorrectas en los servicios implementados por los usuarios, esto probablemente cayó dentro del alcance de los usuarios en un contexto de responsabilidad compartida», dice el informe.

«La recopilación de credenciales de Legion se basó en servidores web mal configurados con credenciales expuestas», explicó Muir. «Según el modelo de responsabilidad compartida de CSP, la configuración correcta de los servidores web será responsabilidad del usuario y no del proveedor, ya que normalmente el usuario es quien implementa y administra el servidor web».

LEER  Comienza a construir tu propio sitio web con Python y Django
Etiquetas
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba