A medida que los métodos de los ciberdelincuentes aumentan en sofisticacion, la competencia entre los distintos grupos de hackers aumenta. Y es que, tal es el nivel de rivalidad que ahora los ciberdelincuentes no sólo utilizan complejas artimañas para hacerse con la información robada e infectar a usuarios sino también a sus competidores. Así lo desvela SophosLabs, el grupo de expertos de Sophos iberia que, en su último trabajo, ha analizado las nuevas prácticas con las que los ciberdelincuentes luchan en Internet.
Bajo alias como Pahan, Pahann, Pahan12 o Pahan123 algunos cibercriminales están ofertando programas para impulsar el cibercrimen, pero a su vez instalan estos softwares maliciosos en los ordenadores de sus competidores con el fin de robarles la información.
Según afirman los expertos de Sophos, el procedimiento consiste en “ofrecer estos programas en sitios populares entre los ciberdelincuentes, como LeakForum u Offensive Comunity”. Además, desde Sophos aseguran que al mismo tiempo se dedicaban a este tipo de actividades desde hace algunos años con el objetivo de tener un efecto superior al ransonware. “Suponemos que los ciberdelincuentes intentaban fortalecer su presencia en la Deep Web y así ganar mercado a sus competidores. Está demostrado que existe una guerra entre “los malos””, explica Alberto Ruiz Rodas Ingeniero Preventa de Sophos Iberia.
En 2015, Pahan ofrecía una herramienta de malware de cifrado llamada Aegis Crypter para evitar las soluciones antimalware. Esta herramienta incluía su propio ingrediente secreto: un troyano zombi llamado Troj/RxBot que conectaba ordenadores infectados con un servidor IRC desde el cual se podían enviar órdenes de forma remota a una red de zombis.
En marzo de 2016, Pahann estaba promoviendo una versión de su toolkit de KeyBase, pudiendo ser utilizado para generar archivos keyloggers. Este kit estaba también infectado como una especie de “triángulo de malware” que instalaba un programa llamado COM Surrogate que a su vez liberaba un zombie Troyano (RxBot) y un keylogger (Cyborg).
La última argucia detectada por Sophos ha sido la relacionada con el troyano de acceso remoto denominado SLICK RAT que descargaba el malware keylogger de KeyBase para hacerse con las contraseñas robadas por otros cibercriminales.
Estas contraseñas robadas son la puerta de acceso para llevar a cabo ciberataques a empresas. En estos casos, se suele usar un email corporativo de manera fraudulenta para solicitar una transferencia bancaria “oficial”. Las cantidades solicitadas pueden llegar a alcanzar cantidades de hasta 100.000 dólares o más, argumentando que se necesita el dinero de manera urgente para solucionar un momento crítico para la empresa.
Por el momento, los ciberdelincuentes que se escondían bajo los alias de Pahan, Pahann, Pahan12 y Pahan123 han sido descubiertos. “Creemos que se infectaron de alguna manera con una o más muestras de sus propias piezas de malware, y aunque ahora se conoce cuáles son sus trucos, sabemos que volverán a cambiar de identidad para seguir realizando nuevamente este tipo de prácticas”, agrega Ruiz Rodas.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario