VirusTotal (VT) de Chronicle es una bendición para los investigadores de seguridad y un regalo para los delincuentes potenciales. Aparte de las muestras de virus, contiene probablemente millones de credenciales de usuario fácilmente disponibles para cualquiera que sepa dónde y cómo buscar.
Este es el hallazgo de los investigadores de SafeBreach que querían ver si las capacidades de búsqueda avanzada de VT podrían proporcionar una versión mejorada de Google Hacking (dorking). Descubrieron que podía.
La investigación comenzó con un análisis de muestras de conocidos ladrones de información encontrados en VT, como RedLine Stealer, Azulrt, Ladrón de mapaches y Hawkeye. Las muestras de malware contienen sus nombres de archivo de exfiltración. Los investigadores de SafeBreach luego usaron las propias capacidades de búsqueda de VT para ver si también se podían encontrar archivos de exfiltración de ladrones de información en VT. Quizás sorprendentemente, encontraron muchos de esos archivos.
Es extraño por qué los archivos de exfiltración de malware deben encontrarse junto con el malware en VT. El director de investigación de seguridad de SafeBreach, Tomer Bar, ofreció varias razones posibles. Algunos se basan en un simple error del usuario: los usuarios detectan un archivo que no reconocen y simplemente lo suben a VT para verificarlo, sin darse cuenta necesariamente de que podría contener sus propios datos confidenciales robados por el ladrón de información. Una vez en VT, se queda allí.
Sugirió que una razón más inquietante es que los delincuentes hacen esto ellos mismos, utilizando VT como una herramienta de marketing para mostrar su catálogo mientras se esconden a simple vista. “Simplemente se ha pasado por alto”, sugirió Bar a SecurityWeek, “porque no es fácil ver lo que no se busca”.
en una investigacion del blog el 18 de enero de 2022, SafeBreach da ejemplos de lo que encontró. Uso de VT para buscar archivos relacionados con Azulrt “YandexBrowser_Default.txt“, encontró más de 20 instancias. Entre ellos hay una carpeta llamada 'Nueva carpeta' de septiembre de 2021. Contiene archivos zip con 1,000 víctimas que comprenden 405 MB de datos exfiltrados. El contenido incluía 44,000 contraseñas de Gmail, 7,000 de Hotmail, 4,700 de Facebook, 950 de PayPal y 30 de Visa.com.
“Estas credenciales”, dice el informe, “son para 1,300 sitios gubernamentales de 48 países”. Incluyen sitios relacionados con impuestos como el IRS en los EE. UU., HMRC en el Reino Unido (incluido el sitio web de crédito universal) y la oficina de pasaportes de la India.
En general, continúa el informe: “Pudimos recopilar más de 1,000,000 de credenciales en unos pocos días, filtradas por diferentes tipos de malware y billeteras de criptomonedas sin cifrar. También pudimos descubrir un mercado que publica los datos de 1000 víctimas de forma gratuita como teaser y publica un sitio y un canal de Telegram que vende los datos extraídos de cien mil víctimas”.
Se encontraron resultados similares con cada uno de los ladrones de información examinados por SafeBreach, lo que demuestra que VT Hacking es un problema grave. SafeBreach lo llama 'el ciberdelito perfecto' ya que no hay riesgo para el delincuente, se requiere poco esfuerzo, no es necesario desarrollar, adquirir e instalar malware adicional, y no hay defensa contra él. Todo lo que requiere el delincuente es una "licencia de VT por la pequeña tarifa de 600 €".
VT Hacking funciona a escala. “Un delincuente perezoso que usa este método puede recopilar una cantidad casi ilimitada de credenciales y otros datos confidenciales del usuario en un período corto utilizando un enfoque libre de infecciones”, dice el informe.
Incluso se puede automatizar. “Podría usar una regla de Yara para alertarlo en tiempo real sobre cualquier archivo nuevo”, dijo Bar. “La licencia básica de VT le permite establecer unas 15 reglas. Por lo tanto, podría tomar los diez principales ladrones de información y usar diez de estas reglas para recibir una notificación en tiempo real de que se ha cargado un nuevo archivo y está disponible”.
Hace más de un mes, la empresa se puso en contacto con Google con sus hallazgos y recomendaciones, incluida, por ejemplo, la adición de un algoritmo que no permite la carga de archivos con datos confidenciales que contienen texto sin cifrar o archivos cifrados con la contraseña de descifrado adjunta textualmente o por imagen. Google acusó recibo.
“Pero Google no nos dijo qué planean hacer”, dijo Bar. SecurityWeek. “Hace una semana, repetimos nuestras búsquedas y casi todos los resultados todavía están disponibles. Le envié a Google un segundo correo diciendo que los datos aún están disponibles, pero no he recibido una respuesta”.
Continuó: “Esperamos más de un mes antes de publicar nuestros hallazgos, pero sin una respuesta de Google, ahora estamos publicando los detalles de nuestra investigación para llamar la atención de las empresas sobre el problema para que sean más sensibles a la forma en que suben sus propios archivos. Preferimos esperar hasta que los proveedores solucionen cualquier problema que encontremos, pero esto es un poco diferente ya que está disponible para cualquier delincuente sin habilidades de piratería, no tiene IOC y las 'víctimas' no pueden detectarlo. Sin embargo, confío en que Google solucionará el problema a tiempo”.
Relacionado:: SafeBreach, empresa de simulación de infracciones y ataques, duplica la financiación con 53.5 millones de dólares
Relacionado:: VirusTotal presenta 'Colecciones' para simplificar el intercambio de IoC
Relacionado:: ¡Cómo usan los atacantes los motores de búsqueda y cómo puedes defenderte!
Relacionado:: Chronicle presenta VirusTotal Enterprise
Kevin Townsend es colaborador sénior de SecurityWeek. Ha estado escribiendo sobre temas de alta tecnología desde antes del nacimiento de Microsoft. Durante los últimos 15 años se ha especializado en seguridad de la información; y ha publicado muchos miles de artículos en decenas de revistas diferentes, desde The Times y Financial Times hasta revistas de informática actuales y antiguas.
Tags: Fuente: https://www.securityweek.com/virustotal-hacking-offers-supercharged-version-google-hacking
