por

Dos plataformas de cibercrimen como servicio

El delito cibernético ha continuado evolucionando a través de los años, al día de hoy existe en una forma altamente organizada. El ciberdelito ha sido cada vez más comercializado y se ha convertido en un gran negocio el alquilar una amplia gama de herramientas y tecnologías de hacking, desde kits de exploits hasta ransomware, para ayudar a cualquiera a construir amenazas y lanzar ataques.

En los últimos años, hemos presenciado el aumento de la popularidad del malware como servicio (MaaS), que hoy es un negocio próspero en el mercado negro underground que ofrece una variedad de servicios, incluyendo a ransomware-como-un-Servicio, DDoS-como-un-servicio, phishing-como-un-servicio y mucho más.

Dos de estos servicios han sido vistos recientemente por dos grupos separados de investigadores, que datallaremos en este post.

Ovidiy Stealer. Esta es una nueva herramienta de robo de credenciales a través del malware que apunta principalmente a navegadores web vulnerables y se comercializa en foros de habla rusa por un costo tan bajo como $ 7, lo que permite a cualquier persona con pocos conocimientos técnicos hackear tantas computadoras como quieran.

Este malware apareció inicialmente el mes pasado, pero está siendo actualizado regularmente por sus autores de habla rusa y activamente adoptado por los criminales cibernéticos en todo el mundo.

El malware Ovidiy Stealer actualmente tiene varias versiones, dirigidas a personas de todo el mundo, incluyendo Reino Unido, Holanda, India y Rusia, según investigadores de seguridad de Proofpoint, quienes analizaron el malware.

Lo que ha sorprendido a los investigadores es el bajísimo costo del Ovni Stealer. Comprar una versión personalizada de este malware que se caracteriza por ser ligero, fácil de usar y efectivo cuesta entre 450 y 750 rublos (es decir entre $ 7 y $ 13). Obviamente el pago se hace en bitcoins.

A pesar de su bajo precio, los ejecutables del malware están encriptados, lo que los hace difíciles de detectar y analizar por los antivirus y aunque el informe también señala que algunos productos antivirus están detectando Ovidiy Stealer por su comportamiento.
Escrito en .NET, el malware tiene por objetivo robar credenciales y tiene la capacidad de atacar múltiples aplicaciones y navegadores, incluyendo Google Chrome, Opera, FileZilla, Amigo, Kometa, Antorcha y Orbitum, pero los compradores pueden comprar una versión que sólo funciona en un navegador. El malware se está distribuyendo a través de una serie de métodos, incluyendo adjuntos de correo electrónico malicioso, enlaces maliciosos que lo descargan, software falso o herramientas ofrecidas en varios sitios web de alojamiento de archivos e incluso dentro de paquetes de software.

Ovidiy Stealer en sí no es muy potente y avanzado, ya que no incluye ningún mecanismo de persistencia que permite que el malware se ejecute después de un reinicio, pero tiene el potencial de extenderse, en la medida que más demanda exista por el mismo.

Ovidiu Stealer utiliza la conexión SSL/TLS para una comunicación segura con el servidor de comando y control, que está alojado en un dominio ruso, que es el mismo dominio utilizado para comercializar y vender el malware.

Hackshit. Esta es otra herramienta de cibercrimen como servicio, fue descubierto por los investigadores de Netskope Threat Research Labs quienes detallaron la existencia de una plataforma Phishing-as-a-Service (PhaaS) que se ofrece bajo costo, esta es solución automatizada para los estafadores principiantes, lo que les permite engañar a la gente en el momento de utilizar sus credenciales, la plataforma PhaaS atrae a nuevos suscriptores ofreciéndoles cuentas de prueba gratuitas para revisar su limitado conjunto de tutoriales y trucos de hacking para hacer dinero fácil.

Hackshit permite que los aspirantes a hackers generen sus páginas únicas de phishing para varios servicios entre los que se incluyen Yahoo, Facebook y Gmail de Google. Los investigadores señalaron que las páginas de phishing usan el esquema URI de datos para servir a contenido codificado en base64 desde sitios web HTTPS seguros con dominio de nivel superior .moe para evadir los antivirus tradicionales.

Por otra parte, el sitio web de Hackshit utiliza un certificado SSL emitido por Let’s Encrypt, una autoridad de certificados abierta que ofrece certificados SSL/TLS (Secure Socket Layer/Transport Layer Security) gratuitos para servidores web, facilitando la implementación HTTPS para todos.

Esta plataforma de cibercrimen-como-servicio plantea un nuevo desafío de seguridad no sólo porque permite que los aspirantes a hackers aprovechar los recursos creados por otros ciberdelincuentes para llevar a cabo los ataques, sino también pueden llevar a jóvenes sin mucha preparación al mundo del cibercrimen.