Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
enero
(Total:
124
)
- En Alemania buscan un administrador para MS-DOS y ...
- Meta presenta Code Llama 70B, un modelo open sourc...
- Opera prepara un navegador para iOS basado en inte...
- España participa en una operación mundial para des...
- Los usos curiosos que todavía damos a los disquete...
- Microsoft Edge «roba» datos personales de Chrome s...
- Elon Musk anuncia el primer humano con sus chips c...
- Amazon cancela la compra de iRobot Roomba
- Las imágenes de Taylor Swift que se hicieron viral...
- CPU funcional de 16 bits construida y ejecutada en...
- GoAccess: Analizador de Registros Web en Tiempo Real
- Buscador de Arc hace uso de la IA para crear una w...
- Los ‘deepfakes’ porno de Taylor Swift inundan X (T...
- OpenWrt tiene casi listas las especificaciones de ...
- Spotify acusa a Apple de extorsión por la nueva ta...
- El MIT anuncia una revolucionaria técnica de impre...
- AMD publica un driver para Linux que soporta sus d...
- Una vulnerabilidad en GRUB2 permitía omitir la ver...
- Explotación activa de vulnerabilidad en Atlassian ...
- Vulnerabilidad crítica en GoAnywhere
- Drainer-as-a-Service (DaaS) ¿qué son?
- Congreso Ciberseguridad Hackron XI - Tenerife 2024
- Guía Procesadores Intel Core i3, Core i5, Core i7 ...
- Microsoft despide a 1.900 empleados de Activision ...
- ¿Qué es una botnet? Conoce el control remoto de lo...
- Un nuevo bug en los teléfonos Google Pixel limita ...
- GrapheneOS: alternativa libre a Android
- Sam Altman estaría negociando con TSMC e inversion...
- La IA y la criptominería dispara el consumo de ene...
- Apple gana su primera batalla legal contra NSO Gro...
- Los horrores que viven los moderadores de Meta: “N...
- Ya disponible Parrot 6: la distribución de moda es...
- El delincuente que robó 700 mil € al Ayuntamiento ...
- Microsoft Copilot Pro: qué es, diferencias con la ...
- Google Chrome estrena funciones impulsadas por la ...
- HP asegura que bloquea los cartuchos de impresora ...
- Esta modelo gana 30K dólares al mes escuchando y h...
- Linux Lite o cómo devolver a la vida cualquier PC,...
- El FBI y CISA alertan sobre los posibles riesgos d...
- Función de seguridad "Aislamiento del núcleo" (Cor...
- La infraestructura de PyTorch fue comprometida
- Backups y Snapshots: diferencias y similitudes
- Así usan el reconocimiento facial con rostros por ...
- FraudGPT, BadGPT, WormGPT son dos modelos de ia qu...
- Francia multa con 32 millones a Amazon por el cont...
- La madre de todas las filtraciones: 12TB y 26 mil ...
- OpenWrt trabaja en un router inalámbrico
- Gestión gráfica de contenedores Docker con Portainer
- DDoSia Client: la herramienta del grupo pro-ruso N...
- La British Library, la biblioteca más completa del...
- Escape Room gratuito centrado en ciberseguridad: r...
- Vulnerabilidad en Microsoft Outlook permite extrac...
- Un chatbot de DPD insulta a un cliente
- Fallece David L. Mills: El legado del creador del ...
- Cryptomator: cifrado datos en la nube de Dropbox, ...
- Microsoft sufre un robo de correos corporativos po...
- Publican recopilación de 100 millones de contraseñ...
- Los resultados de un estudio sobre los datos que r...
- Desarrollan una batería nuclear capaz de durar 50 ...
- WebWormhole permite enviar archivos grandes sin in...
- Google Chrome soluciona el enésimo zero-day que es...
- Millones de GPU de Apple, AMD y Qualcomm están afe...
- Seagate presenta discos duros de más de 30TB
- Google Maps encuentra la solución para el mayor pr...
- Las profundidades de la privacidad digital: I2P, L...
- En españa un joven de 17 años es condenado por hac...
- En solo 5 minutos un desarrollador ha aumentado un...
- OpenAI prohíbe a políticos usar su inteligencia ar...
- Ubisoft sobre las suscripciones: "Los jugadores es...
- ¿Cuánto dinero perdería una empresa o un país en u...
- Desaparecen las licencias perpetuas de VMWare y se...
- Apple supera por primera vez a Samsung en ventas g...
- OpenAI autoriza el uso de sus sistemas de IA para ...
- Elon Musk muestra al humanoide de Tesla doblando l...
- Vulnerabilidad crítica en dispositivos de Juniper
- Una de las grandes mejoras del Galaxy S24 requiere...
- Explotación activa de vulnerabilidad Microsoft Sha...
- Google permitirá a los usuarios seleccionar qué se...
- Una empresa de etiquetado de IA contrata a trabaja...
- Una fuga de datos masiva afectaría a todos los ciu...
- Los ataques de ransomware provocan una muerte al m...
- El CEO de Twitch afirma que la plataforma de strea...
- NymConnect: App para mejorar la privacidad en Tele...
- Los medios Españoles empiezan a cobrar a los usuar...
- Descifrador gratuito para ransomware Black Basta y...
- unbound: servidor dns caché rápido y seguro con li...
- Piratas informáticos turcos hackean servidores MS ...
- China afirma haber crackeado el cifrado de Apple A...
- Un centro de salud deberá pagar una multa de más d...
- La nueva consola portátil: MSI Claw
- Mega 95, la consola portátil de Hyperkin que sopor...
- Intel presenta los Raptor Lake Refresh Mobile, nue...
- El Samsung Galaxy S24 se podrá usar como una webca...
- El Aeropuerto Internacional de Beirut, víctima de ...
- Carrefour sufre un ciberataque en Servicios Financ...
- Ransomware BlackHunt afecta a la compañía de telec...
- Alpine Linux: una Distro Linux pequeña, simple y s...
- Cómo configurar el entorno de red en Debian desde ...
- China lanzó un satélite que incluye un kernel Linu...
- El plan de Estados Unidos de regresar a la Luna 50...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Drainer-as-a-Service (DaaS) ¿qué son?
Una ola de ataques de apropiación de cuentas de Twitter/X ha visto comprometidas y utilizadas múltiples cuentas de redes sociales de alto perfil para difundir contenido malicioso destinado a robar criptomonedas. Los ataques utilizan una familia de malware conocida como crypto-drainers y, a menudo, se suministran a través de plataformas Drainer-as-a-Service (DaaS). Algunas víctimas recientes de alto perfil incluyen a la SEC y Mandiant.
Crypto Drainers y Drainers as a Service han recibido poca atención por parte de los investigadores de seguridad hasta la fecha a pesar de haber existido desde al menos 2021. En esta publicación, centramos la atención en Crypto Drainers y DaaS para crear conciencia sobre esta familia de amenazas y su impacto en las organizaciones.
Casos recientes
La cuenta de redes sociales X @SECGov de la Comisión de Bolsa y Valores de EE. UU. también se vio comprometida para publicar un anuncio falso sobre la aprobación de ETF (fondos cotizados en bolsa) de Bitcoin en bolsas de valores, lo que provocó que los precios de Bitcoin se dispararan brevemente.
El equipo de seguridad de X dijo más tarde que el secuestro se debió al secuestro de un número de teléfono asociado con la cuenta @SECGov en un ataque de intercambio de SIM. X también señaló que la cuenta de la SEC no tenía habilitada la autenticación de dos factores (2FA) en el momento en que fue hackeada.
Anteriormente, las cuentas Netgear y Hyundai MEA X también fueron secuestradas para promover sitios de criptomonedas falsos que empujaban a los vaciadores de billeteras, y la cuenta X de la firma de seguridad Web3 CertiK fue hackeada una semana antes con el mismo objetivo malicioso.
Además, los actores de amenazas se están apoderando cada vez más de cuentas X gubernamentales y empresariales verificadas con marcas de verificación 'doradas' y 'grises' para dar legitimidad a los tweets que redirigen a los usuarios a estafas de criptomonedas, sitios de phishing y sitios que difunden drenadores de criptomonedas.
Los usuarios de X también se encuentran bajo una avalancha incesante de anuncios maliciosos de criptomonedas que conducen a lanzamientos aéreos falsos, diversas estafas y, por supuesto, drenajes de criptomonedas y NFT.
Como dijeron los expertos en amenazas Blockchain de ScamSniffer en diciembre, se utilizó un drenaje de una sola pared conocido como 'MS Drainer' para robar aproximadamente 59 millones de dólares en criptomonedas de 63.000 personas en un anuncio publicitario X entre marzo y noviembre.
Introducción a DaaS y Crypto Drainers
Un Crypto Drainers es una herramienta o script malicioso que está especialmente diseñado para transferir o redirigir criptomonedas desde la billetera de una víctima a aquella que está bajo el control de un atacante. Los Drainers dirigidos a MetaMask aparecieron por primera vez alrededor de 2021, donde se comercializaron abiertamente en foros y mercados clandestinos.
Sin embargo, los ataques de drenaje pueden darse de varias formas. Los contratos inteligentes maliciosos pueden contener funciones ocultas para activar transferencias no autorizadas. Otras formas de drenadores pueden explotar activadores basados en NFT o tokens para generar recursos falsos que a su vez facilitan la transferencia oculta y no autorizada de criptomonedas.
Este tipo de malware a menudo se proporcionan a través de un modelo Drainer-as-a-Service, en el que los proveedores de DaaS ofrecen software y soporte a los ciberdelincuentes por un porcentaje de los fondos robados. Los servicios que normalmente ofrece un DaaS moderno incluyen:
- Scripts llave en mano para drenaje de criptomonedas
- Contratos inteligentes personalizables
- Kits de phishing y servicios de ingeniería social
- Servicios premium OPSEC o de seguridad y anonimato
- Asistencia de integración y mezcla/ofuscación.
- Actualizaciones continuas, mantenimiento y soporte técnico.
Por ejemplo, se utilizan scripts de drenaje de criptomonedas llave en mano o listos para usar para facilitar la automatización del drenaje de criptomonedas de las carteras de destino. Están estructurados para que sean fáciles de entender e implementar, sin necesidad de conocimientos previos.
La criptomoneda robada se divide entre los afiliados (usuarios de DaaS) y los operadores de Daas. Normalmente, los operadores se quedan con entre el 5% y el 25% de lo recaudado, dependiendo de los servicios prestados.
La amenaza de ataques de apropiación de cuentas
El drenaje de criptomonedas puede ser enormemente rentable para los actores de amenazas cuando logran hacerse cargo de cuentas de redes sociales de alto perfil y utilizarlas para enviar contenido malicioso a grandes audiencias desde lo que parece ser una fuente confiable, como le sucedió recientemente a Mandiant y la Comisión de Bolsa y Valores de EE.UU.
Otras adquisiciones de cuentas de alto perfil incluyen CertiK y Bloomberg Crypto. A finales de diciembre, se informó que un estafador de criptomonedas robó 59 millones de dólares de 63.000 personas utilizando más de 10.000 sitios web de phishing.
Estos ataques suelen comenzar con un ataque de fuerza bruta a la contraseña. Esto implica intentar sistemáticamente todas las contraseñas posibles hasta encontrar la correcta. Las cuentas que carecen de 2FA o MFA son particularmente vulnerables a este tipo de ataques.
Una vez que un atacante obtiene acceso a la cuenta, puede distribuir enlaces de phishing a sitios web que alojan drenajes. Por ejemplo, pueden publicar contenido desde la cuenta que ofrece NFT gratuitos u otras recompensas a las personas que visitan el sitio y firman una transacción. Las víctimas involuntarias, creyendo que recibirán algo de valor, están demasiado dispuestas a conectar sus billeteras, sin saber que el sitio contiene un script para vaciar sus billeteras.
Los atacantes utilizan plataformas como X, Telegram y Discord para difundir sus enlaces de phishing, aprovechando la confianza y el alcance de las cuentas respetadas pero comprometidas para atacar a más víctimas.
Anatomía de un ataque | el escurridor CLINKSINK
En el incidente de Mandiant, los atacantes utilizaron malware llamado CLINKSINK, un drenaje de JavaScript ofuscado que acecha a las víctimas que caen en enlaces de phishing con señuelos con temas de criptomonedas.
El actor de amenazas que se hizo cargo de la cuenta de redes sociales X de Mandiant la usó para compartir enlaces, redirigiendo a los más de 123.000 seguidores de la compañía a una página de phishing para robar criptomonedas. Estos señuelos a menudo se hacen pasar por recursos legítimos de criptomonedas, incluidos BONK, DappRadar y Phantom.
Se incita a las víctimas a conectar sus billeteras para reclamar un "airdrop": una distribución de tokens o monedas a otras direcciones de billetera como recompensa o promoción. Luego se les pide que firmen una "transacción" para completar la transferencia. Este es el paso crucial para los ladrones de criptomonedas, ya que implica que la víctima utilice su clave privada para autenticarse en la red Blockchain. Si el usuario completa este paso, el drenaje criptográfico puede proceder a transferir el contenido de la billetera de la víctima a la suya.
Mandiant dice que identificó 42 direcciones de billetera únicas utilizadas para recibir fondos robados en campañas recientes de CLINKSINK como la asociada con su reciente adquisición de cuenta Twitter/X. Varias ofertas de DaaS diferentes utilizan el malware CLINKSINK y no está claro en este momento qué DaaS pudo haber estado involucrado con el incidente particular relacionado con Mandiant.
Los drenajes de criptomonedas están aumentando
Los drenadores de criptomonedas se han vuelto cada vez más prominentes desde 2023 y muchos ahora se anuncian en mercados clandestinos y canales de Telegram. Mandiant identificó a Chick Drainer y Rainbow Drainer como dos ofertas de DaaS que utilizan CLINKSINK. Sin embargo, también se sospecha que el código fuente de CLINKSINK puede haberse filtrado y estar siendo utilizado por muchos otros actores de amenazas.
Otras dos ofertas de DaaS que se comercializan amplia y abiertamente son Angel Drainer y Multi-chain Drainer de Rugging.
Angel Drainer es un DaaS que surgió alrededor de agosto de 2023 y ofrece herramientas y servicios que fueron anunciados simultáneamente en Telegram por actores de amenazas conocidos como GhostSec. Además de recibir un descuento del 20%, los operadores también exigen que los afiliados realicen un depósito inicial de entre U$S 5.000 y U$S 10.000.
Multi-chain Drainer de Rugging es otra oferta que afirma admitir 20 plataformas criptográficas diferentes. Los operadores intentan atraer a los afiliados ofreciéndoles tarifas bajas, alrededor del 5-10% de las ganancias de los afiliados.
Prevención de ataques de drenaje
Aunque los drenadores de criptomonedas tienen como objetivo principal robar activos criptográficos de individuos, las empresas y organizaciones deben estar alerta ya que sus cuentas de redes sociales pueden convertirse en parte de la cadena de ataque. Los empleados o unidades de negocio dentro de la organización que se ocupan de activos de criptomonedas también podrían estar en riesgo.
Para combatir la amenaza de ataques de los drenadores de criptomonedas, es importante asegurarse de que 2FA o MFA estén habilitados para todas las cuentas de redes sociales. Se recomienda a los usuarios de criptomonedas que tengan el mismo tipo de precaución y estén atentos a los intentos de ingeniería social con NFT, "airdrops" y otros anuncios criptográficos que lo harían con los correos electrónicos y otros canales de comunicación. Los usuarios también deberían considerar la adopción de billeteras basadas en hardware para mayor seguridad.
Conclusión
De baja habilidad, bajo riesgo, alta recompensa, al igual que Ransomware-as-a-Service (RaaS) antes, Drainer-as-a-Service (DaaS) ofrece a aquellos con intenciones maliciosas una vía fácil hacia el ecosistema de crimeware. Y, al igual que con las ofertas anteriores de RaaS, no nos sorprenderá ver que la competencia entre los operadores de DaaS resulte en una carrera hacia el fondo en cuanto a precios, lo que tentará aún más a realizar actividades maliciosas.
Las credenciales y el acceso a las cuentas de redes sociales deben recibir las mismas consideraciones de seguridad que otros servicios empresariales, ya que incluso el acceso temporal a la audiencia de las redes sociales de una empresa ahora puede usarse para causar daños mucho mayores.
Fuente: SentinelOne | BC
Vía:
https://blog.segu-info.com.ar/2024/01/drainer-as-service-daas-que-son.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.