Un número creciente de grupos de ciberdelincuentes están recurriendo a un ladrón de información llamado Aurora, que se basa en el lenguaje de programación de código abierto Go, para apuntar a datos de navegadores, billeteras de criptomonedas y sistemas locales.
Un equipo de investigación de la firma de seguridad cibernética Sekoia descubrió al menos siete actores maliciosos, a los que se refiere como "traficantes", que agregaron a Aurora a su arsenal de ladrones de información. En algunos casos, se usa junto con Redline o Mapache los ladrones de información también.
Más de 40 billeteras de criptomonedas y aplicaciones como Telegram han sido atacadas con éxito hasta el momento, según el informe, que destacó el estado relativamente desconocido de Aurora y su naturaleza esquiva como ventajas tácticas.
Aurora fue descubierta por primera vez por la compañía en julio y se cree que se promocionó en foros de habla rusa desde abril, donde se promocionaron sus funciones de acceso remoto y capacidades avanzadas de robo de información.
“En octubre y noviembre de 2022, varios cientos de muestras recolectadas y docenas de servidores C2 activos contribuyeron a confirmar la evaluación previa de SEKOIA.IO de que el ladrón de Aurora se convertiría en un ladrón de información frecuente”, la publicación del blog de la compañía explicado. “A medida que múltiples actores de amenazas, incluidos los equipos de traficantes, agregaron el malware a su arsenal, Aurora Stealer se está convirtiendo en una amenaza destacada”.
El informe también señaló que los actores de amenazas cibernéticas lo han estado distribuyendo utilizando múltiples cadenas de infección. Estos van desde sitios web de phishing que se hacen pasar por legítimos, hasta videos de YouTube y sitios web falsos de "catálogo de software libre".
“Estas cadenas de infección aprovechan las páginas de phishing que se hacen pasar por páginas de descarga de software legítimo, incluidas las billeteras de criptomonedas o las herramientas de acceso remoto, y el método 911 que utiliza videos de YouTube y sitios web de descarga de software pirateados falsos preparados para SEO”, continuó la publicación del blog.
El análisis de la compañía también destaca dos cadenas de infección que actualmente distribuyen al ladrón de Aurora en la naturaleza, una a través de un sitio de phishing que se hace pasar por Exodus Wallet y otra de un video de YouTube de una cuenta robada sobre cómo instalar software descifrado de forma gratuita.
El malware utiliza una configuración simple de captura de archivos para recopilar una lista de directorios para buscar archivos de interés. Luego se comunica mediante una conexión TCP en los puertos 8081 y 9865, siendo el 8081 el puerto abierto más extendido. Los archivos exfiltrados luego se codifican en base64 y se envían al servidor de comando y control (C2).
Los datos recopilados se ofrecen a precios elevados en varios mercados a los ciberdelincuentes que buscan llevar a cabo lucrativas campañas de seguimiento, en las llamadas operaciones de "caza mayor" que persiguen a grandes empresas y objetivos del sector gubernamental, según los investigadores.
Malware de código abierto en aumento en popularidad
Un número creciente de actores maliciosos está creando malware y ransomware con lenguajes de programación de código abierto como Go, que ofrece una mayor flexibilidad.
La capacidad multiplataforma de Go permite compilar una única base de código en todos los principales sistemas operativos. Esto facilita a los actores de amenazas, como los que están detrás de BianLian, para realizar cambios constantes y agregar nuevas capacidades a un malware para evitar la detección.
Los operadores del ransomware multiplataforma BianLian han aumentado su infraestructura C2 En meses recientes, lo que indica una aceleración en su ritmo operativo.
Los lenguajes de programación poco comunes, incluidos Go, Rust, Nim y DLang, también se están volviendo favoritos entre los autores de malware buscando eludir las defensas de seguridad o abordar puntos débiles en su proceso de desarrollo, según un informe del año pasado de BlackBerry.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.Haga clic aquí
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/hot-ticket-aurora-go-based-infostealer-favor-cyber-threat-actors
