¿Quién está pirateando a los piratas informáticos? Expertos de Cybereason un misterioso los piratas informáticos el grupo está apuntando a otros piratas informáticos mediante la difusión de herramientas de piratería contaminadas.

Los expertos de la firma de seguridad Cybereason advierten sobre un misterioso grupo de hackers que distribuyen herramientas de piratería troyanizadas casi a diario durante los últimos años.

Estas herramientas de piratería son utilizadas por otros hackers que parecen ser los objetivos del grupo. Las herramientas se comparten en línea en foros y blogs de piratería populares, están infectadas con una versión de nRAT RAT que utilizan los atacantes para establecer una puerta trasera en los sistemas de las víctimas y tomar el control total de ellos.

"Los actores de amenazas detrás de esta campaña están publicando malware integrado dentro Varias herramientas de piratería y grietas para esas herramientas en varios sitios web. Una vez que los archivos se descargan y abren, los atacantes pueden apoderarse por completo de la máquina de la víctima ". lee el reporte publicado Cybereason.

Los investigadores descubrieron más de 1,000 muestras mientras investigaban las operaciones del grupo, pero los expertos creen que la campaña podría ser más amplia.

Las herramientas de piratería que fueron infectadas por el misterioso grupo de piratas informáticos incluyen raspadores de sitios, exploradores de exploits, herramientas de piratería (herramientas de ataque de fuerza bruta, Inyección SQL herramientas de piratería automatizadas, herramientas para lanzar ataques de fuerza bruta, relleno de credenciales herramientas de ataque, y también versiones del navegador Chrome.

La evidencia recopilada por Cybereason sugiere que los actores de la amenaza podrían tener un Vietnamese origen.

“El 25 de noviembre de 2018, el dominio capeturk.com expiró y fue registrado por un individuo vietnamita. El dominio comenzó a asociarse con malware en el momento del nuevo registro, sin embargo, no está claro si esta persona vietnamita tiene algún vínculo con la campaña de malware ". continúa el informe. "Dicho esto, parece que alguien de Vietnam está constantemente probando las muestras enviándolas a VirusTotal". 

Muchas aplicaciones contaminadas analizadas por Cybereason contactaron dos dominios, uno de ellos, el "dominio capeturk.com" fue registrado por un individuo vietnamita.

Los expertos también notaron que muchos de los troyano Se cargaron herramientas de piratería en el servicio de escaneo de malware VirusTotal desde una dirección IP vietnamita.

"Esta investigación salió a la luz casi 1000 njrata muestras compiladas y construidas casi a diario. Es seguro asumir que muchas personas han sido infectadas por esta campaña (aunque por el momento no podemos saber exactamente cuántas). En última instancia, esta campaña brinda a los actores de amenazas acceso completo a la máquina objetivo, de modo que puedan usarla para cualquier cosa, desde realizar ataques DDoS hasta robar datos confidenciales de la máquina ". concluye el informe.

“Está claro que los actores de amenazas detrás de esta campaña están usando múltiples servidores, algunos de los cuales parecen ser blogs de WordPress pirateados. Otros parecen ser la infraestructura propiedad del grupo de amenazas, a juzgar por múltiples nombres de host, Datos DNS, etc.

Por el momento, no podemos determinar las otras víctimas a las que se dirige esta campaña de software malicioso, además de las víctimas de la troyano herramientas de piratería que se conectan al "servidor 7777". "

El informe publicado por Cybereason incluye indicadores de compromiso (IOC) y la matriz MITRE ATT & CK.

Pierluigi Paganini

(Asuntos de seguridad – herramientas de piratería, RAT)

Compartiendo

Fuente: https://securityaffairs.co/wordpress/99299/hacking/hackers-spread-tainted-hacking-tools.html