Google dijo el miércoles que obtuvo una orden judicial temporal en los EE. UU. Para interrumpir la distribución de un malware de robo de información basado en Windows llamado CryptBot y "decelerar" su crecimiento. Mike Trinh y Pierre-Marc Bureau del gigante tecnológico dijo los esfuerzos son parte de los pasos que se necesitan para "no solo responsabilizar a los operadores criminales de malware, sino también a aquellos que se benefician de su distribución."
CryptBot se estima que infectó más de 670,000 computadoras en 2022 con el objetivo de robar datos confidenciales como credenciales de autenticación, inicios de sesión en cuentas de redes sociales y billeteras de criptomonedas de los usuarios de Google Chrome. Los datos cosechados se exfiltran a los actores de amenazas, quienes luego venden los datos a otros atacantes para su uso en campañas de violación de datos. CryptBot fue primero descubierto en la naturaleza en diciembre de 2019.
El malware se ha entregado tradicionalmente a través de versiones maliciosamente modificadas de paquetes de software legÃtimos y populares como Google Earth Pro y Google Chrome que están alojados en sitios web falsos. Además, un Campaña CryptBot desenterrado por Red Canary en diciembre de 2021 implicó el uso de KMSPico, una herramienta no oficial que se utiliza para activar ilegalmente Microsoft Office y Windows sin una clave de licencia, como un vector de entrega.
Luego, en marzo de 2022, BlackBerry revelado detalles de una versión nueva y mejorada del infostealer malicioso que se distribuyó a través de sitios piratas comprometidos que pretenden ofrecer versiones "cracked" de varios programas y videojuegos.
Se sospecha que los principales distribuidores de CryptBot, según Google, operan una "empresa criminal mundial" con sede en Pakistán. Google dijo que tiene la intención de utilizar la orden judicial, otorgada por un juez federal en el Distrito Sur de Nueva York, para "eliminar los dominios actuales y futuros que están vinculados a la distribución de CryptBot ", lo que frena la propagación de nuevas infecciones.
Para mitigar los riesgos que plantean tales amenazas, se recomienda descargar solo software de fuentes conocidas y confiables, examinar revisiones, y asegúrese de que el sistema operativo y el software del dispositivo se mantengan actualizados. La divulgación se produce semanas después de Microsoft, Fortra y el Centro de Análisis y Intercambio de Información de Salud ( Health-ISAC ) manos legalmente unidas para desmantelar servidores que alojan copias ilegales y heredadas de Cobalt Strike para evitar el abuso de la herramienta por parte de actores de amenazas.
También sigue a Google esfuerzos para cerrar la infraestructura de comando y control asociada con una botnet llamada Glupteba en diciembre de 2021. El malware, sin embargo, organizó un regreso seis meses después como parte de una campaña "mejorada.
Por separado, ESET y GitHub, propiedad de Microsoft, anunciaron la interrupción temporal de un malware de robo de información de productos básicos llamado rociador RedLine después encontrando que sus paneles de comando y control aprovecharon cuatro repositorios GitHub diferentes como solucionadores de caÃda muerta.
"La eliminación de estos repositorios deberÃa romper la autenticación de los paneles actualmente en uso", la compañÃa eslovaca de ciberseguridad dijo. "Si bien esto no afecta a los servidores de fondo reales, obligará a los operadores de RedLine a distribuir nuevos paneles a sus clientes."
¿Quieres saber más?