VirusTotal, el popular servicio online de análisis de archivos sospechosos, URLs y direcciones IP, puede utilizarse para recopilar credenciales robadas por malware, según han descubierto los investigadores de SafeBreach.
De hecho, con una licencia de VirusTotal de 600 euros, han conseguido recopilar más de 1.000.000 de credenciales sólo con la ejecución de simples búsquedas con unas pocas herramientas.
El origen de las credenciales comprometidas
Las credenciales están contenidas en archivos que los ladrones de información y los keyloggers comunes utilizan para exfiltrarlas de las máquinas infectadas.
Estos archivos pueden terminar alojados en VirusTotal debido a que los hackers utilizan VirusTotal para promover la venta de datos de las víctimas o debido a que los atacantes los suben por error, dijo Tomer Bar, Director de Investigación de Seguridad de SafeBreach, a Help Net Security.
También pueden ser subidos por terceros (por ejemplo, un investigador de seguridad o la empresa donde se aloja el servidor C2) que no son conscientes de que contienen información sensible. Por último, algunos entornos están configurados para subir automáticamente los archivos a VirusTotal para verificar si están "limpios".
Encontrando los archivos con credenciales robadas
Al igual que la búsqueda de Google puede utilizarse para buscar sitios web/sistemas vulnerables, dispositivos IoT y datos sensibles (el método se conoce como Google hacking o dorking), las API y herramientas de VirusTotal (VT Graph, Retrohunt, etc.) pueden utilizarse para encontrar archivos que contengan datos robados.
Para demostrarlo, los investigadores recopilaron una lista con los nombres de esos archivos, adquirieron una licencia mensual de VirusTotal que les permitía hacer búsquedas, explorar el conjunto de datos de VirusTotal y realizar búsquedas de malware, y empezaron a buscarlos.
No tardaron en encontrar algunos. Según el malware, estos archivos contienen credenciales de cuentas de correo electrónico y redes sociales, sitios de comercio electrónico, servicios de pago en línea, plataformas de juegos, servicios gubernamentales en línea, plataformas de streaming, cuentas bancarias en línea y claves privadas de carteras de criptomonedas.
También han conectado algunos de estos archivos con vendedores específicos de credenciales robadas en una variedad de foros de hacking y grupos de Telegram, y han demostrado que en algunos casos puede ser fácil para los delincuentes descubrir las credenciales para acceder al servidor FTP C2 del malware y utilizarlas para "recoger" las credenciales robadas.
"Nuestro objetivo era identificar los datos que un delincuente podría reunir con una licencia de VirusTotal", señaló Bar, y dijo que han demostrado que este método -apodado "VirusTotal Hacking"- funciona a escala.
"Un delincuente que utilice este método puede reunir un número casi ilimitado de credenciales y otros datos sensibles para el usuario con muy poco esfuerzo y en un corto período de tiempo, utilizando un enfoque libre de infecciones. Lo llamamos el ciberdelito perfecto, no sólo por el hecho de que no hay riesgo y el esfuerzo es muy bajo, sino también por la incapacidad de las víctimas para protegerse de este tipo de actividad. Después de que las víctimas son hackeadas por el hacker original, la mayoría tiene poca visibilidad sobre la información sensible que se sube y se almacena en VirusTotal y otros foros".
Los investigadores instaron a Google -propietario de VirusTotal a través de su filial Chronicle- a que busque y elimine periódicamente los archivos con datos sensibles de los usuarios y prohíba las claves API que suben esos archivos, y a que añada un algoritmo que impida la subida de archivos que contengan datos sensibles en texto claro o archivos cifrados con la contraseña de descifrado adjunta (ya sea como texto o incluida en una imagen).
También señalaron que los protocolos de comunicación C2 no seguros de los malwares deberían ser explotados por los responsables de la seguridad, en colaboración con las empresas de alojamiento, para bloquear o eliminar los servidores C2.
Como nota final, las credenciales robadas no son la única información sensible que puede encontrarse ocasionalmente en VirusTotal:
Fuente: https://www.helpnetsecurity.com/2022/01/18/virustotal-stolen-credentials/?web_view=true