Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Investigadores encuentran 1 millón de credenciales robadas en VirusTotal


Reportan la detección de una nueva "técnica" para recopilar credenciales de usuarios robadas abusando de las características de la reconocida plataforma para el análisis de URLs y archivos potencialmente maliciosos VirusTotal, actualmente en propiedad de Google. Los investigadores de SafeBreach usaron una licencia de VirusTotal para acceder a su API, para demostrar su ataque, logrando recopilar más de un millón de credenciales de acceso. Similar Google Hacking, pues ahora existe en VirusTotal Hacking, usando dorks pudieron encontraron muchísima información.



VirusTotal es conocido por ser el mayor antivirus online. Es un servicio gratuito y muy útil para poder analizar si una URL puede ser un peligro, tener malware o tratarse de Phishing, por ejemplo. Sin embargo ahora un grupo de investigadores de seguridad ha logrado usar la plataforma para acceder a una gran cantidad de credenciales de inicio de sesión que habían sido robadas. 

  • Las credenciales extraídos previamente por ciberdelincuentes han sido descubiertas a partir  de billeteras de criptomonedas sin cifrar y diferentes variedades de malware 

API VirusTotal

Un usuario con licencia en VirusTotal puede consultar el conjunto de datos del servicio con una combinación de consultas por tipo de archivo, nombre de archivo, datos enviados, país y contenido del archivo, entre otros. Los investigadores pensaron que, abusando de esta plataforma, los actores de amenazas podrían buscar sitios web vulnerables, dispositivos de Internet de las Cosas (IoT) e incidentes de brecha de datos. El ataque se basa en el uso de herramientas y APIs de VirusTotal, como VirusTotal Query, VirusTotal Graph y Retrohunt.



Credenciales robados por diferentes malwares

En conjunto con estas herramientas, utilizaron algunas variantes conocidas de malware, como RedLine Stealer, Azorult, Raccoon Stealer y Hawkeye, además de algunos foros de hacking como DrDark y Snatch_Cloud. Empleando RedLine Stealer, los investigadores pudieron abusar de algunos navegadores para recopilar datos como credenciales guardadas, datos de autocompletado y detalles de tarjetas de pago; al ser ejecutado, el malware realiza un inventario del sistema que incluye información como el nombre de usuario, datos de ubicación, la configuración del hardware y escaneo de software de seguridad.

Con el uso de VirusTotal Query para buscar archivos binarios identificados por al menos un motor antivirus como RedLine, lo que en la investigación arrojó 800 resultados. Los expertos también buscaron archivos llamados DomainDetects.txt, que es uno de los nombres de archivo que extrae el malware, obteniendo cientos de archivos en respuesta.

Posteriormente, usando VirusTotal Graph los investigadores encontraron un archivo de sus resultados de búsqueda que también se incluyó en un archivo RAR que contenía datos extraídos pertenecientes a 500 víctimas, incluidas 22,715 contraseñas para cientos de sitios web diferentes. Los resultados adicionales incluyeron archivos aún más grandes, que contenían más contraseñas aparentemente activas.

Los hallazgos ya han sido notificados a Google, junto con una serie de recomendaciones para mitigar el abuso de estas funciones, incluyendo la búsqueda y eliminación periódica de archivos con datos confidenciales de los usuarios y la prohibición de las claves API que cargan estos archivos.

Mediante el método parecido a  Google Hacking. Lo que hacen es buscar sitios web que son vulnerables, dispositivos IoT y cualquier fuga de datos. En su informe mostraron que los piratas informáticos recopilan credenciales de varias plataformas, como pueden ser foros o navegadores, y las escriben en un nombre de archivo codificado, por ejemplo, all_credentials.txt.

Posteriormente, ese archivo se extrae en un servidor controlado por los atacantes. Estos investigadores utilizaron diferentes herramientas de VirusTotal para encontrar archivos que tuvieran datos robados.

La verdad sobre lo ocurrido con VirusTotal

La malagueña VirusTotal lanzó un servicio llamado VT Intelligence en 2009 para aprovechar toda la información que llega a este multi-antivirus online. Este portal se lanzó como una gran base de datos para investigadores del sector de la ciberseguridad y empresas con departamentos de seguridad, pudiendo acceder a todos esos datos con el objetivo de investigar y mejorar la seguridad de sus productos y usuarios.

Acceso restringido a VT Intelligence

Es decir, que ni usuarios con la citada licencia de 600$, ni otros cibercriminales podrían acceder a dichos datos, ni tampoco cualquier empresa podría acceder a VT Intelligence. Todos los que tienen acceso pasan por un proceso de vetting para verificar que la empresa sea confiable y con buena reputación, además de tener un caso de uso adecuado para acceder a esa bbdd.

Contenido de la bbdd y fuentes

Esa base de datos contiene muy diversa información, con amenazas de todo tipo, desde malware, hasta exploits avanzados, pasando por kits de phishing, herramientas de hacking sacadas de foros underground de hacking, carding, logs (registros) y ficheros con credenciales que han quedado expuestos en esos sitios, etc.

Fuentes:

https://www.safebreach.com/blog/2022/the-perfect-cyber-crime/

https://www.hackread.com/virustotal-hacking-hackers-stolen-credentials-virustotal/

https://www.redeszone.net/noticias/seguridad/hackeo-virustotal-robo-datos/

https://www.cibertip.com/ciberseguridad/investigadores-descubren-nueva-forma-de-almacenar-y-encontrar-credenciales-robadas-en-servidores-virustotal/

https://www.linuxadictos.com/virustotal-safebreach-credenciales.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.