Los hackers de CryptoCore se dirigen a las cuentas del administrador de contraseñas
Ayer, la empresa de ciberseguridad ClearSky publicó un informe sobre un grupo de piratería llamado CryptoCore. También conocida como Dangerous Password y Leery Turtle, la banda supuestamente se encuentra en Europa del Este, y sus acciones también han sido seguidas por otros equipos de seguridad. Los expertos de ClearSky creen, sin embargo, que las operaciones de CryptoCore son mucho más grandes de lo estimado inicialmente. Piensan que desde mayo de 2018, la tripulación ha logrado recaudar hasta $ 200 millones en ganancias ilegales. El informe de ayer arroja algo de luz sobre cómo logró hacerlo.
Table of Contents
El reconocimiento
Las víctimas de CryptoCore son casi exclusivamente intercambios de criptomonedas y empresas que trabajan con ellos. Antes de ejecutar el ataque real, los piratas informáticos pasan por un largo proceso de reconocimiento, que consiste en identificar a los empleados de alto rango a los que se dirigirán, reunir la mayor cantidad de información posible sobre ellos y, en algunos casos, comprometer sus cuentas de correo electrónico personales. .
Según ClearSky, los ataques a correos electrónicos personales son más fáciles de realizar, pero lo que es más importante, proporcionan una excelente fuente de información y pueden ayudar a los piratas informáticos a comprometer la bandeja de entrada corporativa del objetivo. La cadena de ataque real es una mezcla de técnicas comprobadas y trucos nuevos e innovadores que, si las estimaciones de ClearSky sobre los $ 200 millones en ganancias son correctas, claramente funcionan bastante bien.
La ingenieria social
Los ataques comienzan con correos electrónicos de spearphishing que varían en su grado de sofisticación. En algunos casos, los mensajes son bastante sospechosos, y en otros, salvo la extraña coma mal colocada, son casi perfectos tanto en términos de gramática como de ingeniería social.
En la mayoría de los ataques, a los ejecutivos del intercambio de criptomonedas se les dice que al hacer clic en un enlace, tendrán acceso a un documento importante relacionado con el trabajo. CryptoCore hace un uso intensivo de los nombres de dominio que se parecen a las plataformas en línea populares como Google Drive, y en algunos de los ataques, los piratas informáticos emplean HTML para ocultar las URL maliciosas detrás de enlaces de aspecto legítimo. Los piratas informáticos también han utilizado los servicios de acortamiento de URL no solo porque podrían ayudarlos a evadir la detección, sino también porque les dan una idea de cuántas víctimas caen en el esquema.
Los objetivos que hacen clic para descargar un archivo con dos archivos. El primero es un archivo PDF, DOCX o XLSX protegido con contraseña que supuestamente es el documento relacionado con el trabajo mencionado en el cuerpo del correo electrónico. Se hace creer a la víctima que la contraseña que la desbloquea se almacena en "password.txt", el segundo archivo del archivo.
Sin embargo, los destinatarios más observadores pueden notar que el archivo password.txt en realidad tiene una doble extensión. Su nombre completo es "contraseña.txt.lnk", y es donde comienza el ataque real.
El ataque
Los archivos LNK son accesos directos regulares de Windows, y también han sido utilizados por otras pandillas cibercriminales. El archivo LNK de CryptoCore se vincula a un código malicioso de VBS que se conecta al servidor de Comando y Control (C&C) y pasa a la siguiente etapa del ataque. Para asegurarse de que la víctima no sea más sabia, el script descarga y abre un archivo TXT que contiene lo que parece la contraseña prometida.
Sin embargo, en segundo plano, descarga y almacena la carga útil en la carpeta% temp% y coloca otro archivo VBS en el directorio de inicio para garantizar que el malware se inicia cada vez que se inicia la PC.
El atraco
Como ya mencionamos, los ataques de CryptoCore apuntan a los empleados clave de los intercambios de criptomonedas, lo que significa que es poco probable que los usuarios habituales se vean afectados por esta campaña en particular. Sin embargo, esto no significa que la gente no deba prestarle atención.
Los expertos de ClearSky no mencionaron las herramientas específicas utilizadas en los ataques de CryptoCore, pero sí dijeron que los ciberdelincuentes persiguen las cuentas del administrador de contraseñas de las víctimas. Allí, los piratas informáticos encuentran la información que necesitan para redirigir millones de monedas digitales de las billeteras activas del intercambio a direcciones controladas por ellos.
Los mecanismos reales de intrusión siguen siendo desconocidos, y no hay información sobre si las aplicaciones específicas de administración de contraseñas están dirigidas. Sin embargo, la criptomoneda robada demuestra que los ataques han tenido éxito, lo que podría generar sospechas hacia los administradores de contraseñas en algunos usuarios. Sería completamente injustificado.
Los administradores de contraseñas son las mejores herramientas para organizar y almacenar datos de inicio de sesión, y nadie debería tener ninguna duda al respecto. Desafortunadamente, incluso las defensas de un administrador de contraseñas pueden verse debilitadas por una mala higiene de ciberseguridad por parte del usuario. Las personas deben recordar que su contraseña maestra debe ser sólida, larga y, lo que es más importante, única, y deben aprovechar las características de seguridad adicionales como la autenticación de dos factores que ofrecen algunos administradores de contraseñas. Es posible que no tengamos los detalles técnicos sobre los ataques de CryptoCore, pero sí sabemos que todos dependen de que el usuario haga clic en un enlace en un correo electrónico, lo que demuestra que ya es hora de que todos comiencen a tratar los mensajes en su bandeja de entrada con Una buena dosis de sospecha.
