“Proyecto Eternity” malware como servicio: Un kit de herramientas modular para los atacantes
Un atacante desconocido está vendiendo un nuevo kit de herramientas de malware llamado Proyecto Eternity. Los ciberdelincuentes pueden comprar stealers, clippers, gusanos, mineros, ransomware y bots DDoS por unos pocos cientos de dólares cada uno. Lo más destacable de este malware como servicio (MaaS) es que, además de estar disponible en un sitio web de TOR, el hacker que está detrás lo promociona descaradamente en un canal de Telegram con videos con actualizaciones del producto y videos explicativos.
¿Cómo se descubrió el Proyecto Eternity?
Los investigadores de Cyble Research Labs descubrieron por primera vez el Proyecto Eternity en un sitio web de TOR mientras realizaban actividades rutinarias de caza de amenazas. Mientras seguían investigando la amenaza, descubrieron el canal de Telegram relacionado que, en ese momento, ya tenía 500 suscriptores. El hacker o grupo de hackers que ofrece el Proyecto Eternity ha publicado varias actualizaciones del malware, lo que sugiere que están invirtiendo activamente en su mejora.
Es razonable preocuparnos incluso más, ya que cualquiera que compre el malware puede construir y personalizar el binario utilizando el bot de Telegram asociado, lo que permite a los delincuentes crear binarios sin dependencias.
El kit de malware y sus orígenes
Debido a algunas similitudes, los investigadores creen que el actor detrás del Proyecto Eternity ha reutilizado y modificado el código existente de DynamicStealer, que también es accesible en Github. Dado que el malware Jester Stealer utiliza el mismo repositorio de Github, los hackers que están detrás de ambos pueden estar vinculados de alguna manera.
Los delincuentes pueden alquilar el acceso a cualquiera de los cinco módulos por una cuota anual:
- Desde la máquina de un objetivo, el stealer Eternity (260 dólares) puede desviar tarjetas de crédito, contraseñas, cookies, extensiones y carteras de criptomonedas, aplicaciones de correo electrónico y clientes de VPN, enviando la información al bot de Telegram.
- El minero Eternity (90 dólares) mina criptomonedas utilizando los recursos informáticos de una máquina comprometida.
- Los hackers pueden utilizar el clipper Eternity (110 dólares) para robar criptodivisas durante una transacción sustituyendo la dirección de su cartera por la de la víctima guardada en el portapapeles.
- El ransomware Eternity (490 dólares) es un ejecutable que cifra los archivos de la víctima, reteniéndolos para el pago de un rescate.
- El gusano Eternity (390 dólares) se propaga a través de archivos locales, recursos compartidos de la red local, unidades en la nube, unidades USB, proyectos de Python y cuentas de Discord y Telegram.
- Los responsables de la amenaza han indicado que actualmente están desarrollando un Bot DDoS, pero aún no se ha anunciado una fecha de lanzamiento ni un precio.
¿Qué efectos puede tener?
Debido a la falta de regulación, los canales de Telegram se están convirtiendo en un lugar al que acuden los delincuentes que quieren vender o comprar malware. Dado que estos últimos kits de herramientas vienen con información detallada, soporte al cliente y bots que facilitan la construcción y personalización de los ataques, atraen a ciberdelincuentes profesionales y amateurs, ampliando el grupo de atacantes que pueden causar estragos sin necesidad de tener habilidades avanzadas.
Recomendaciones de CYREBRO para mantener la seguridad
Ante tantas amenazas emergentes, las empresas y sus empleados deben tomar medidas para protegerse y permanecer atentos, sobre todo porque ahora incluso los delincuentes con conocimientos mínimos pueden lanzar ataques devastadores.
Como señaló el analista de inteligencia de amenazas de CYREBRO, Ziv Nachman:
«Se trata de un grupo proveedor de servicios que parece basarse en el malware de código abierto, en su mayor parte, lo que en realidad no es nuevo. Lo que es nuevo e interesante es el modelo de distribución – que se está vendiendo en Telegram. Anteriormente, la principal forma de distribución era a través de lugares como los sitios TOR, pero ahora estamos viendo un cambio creciente hacia las plataformas principales y legítimas de fácil acceso como Telegram, Snapchat y Discord, las cuales tienen una corporación que protege y asegura los mensajes, lo que en última instancia permite a los ciberdelincuentes esconderse a la vista de todos.»
Nuestro consejo es que te asegures de supervisar continuamente todo tu entorno de IT con el conjunto de herramientas adecuado. Por supuesto, tu equipo de seguridad y de IT debe seguir sistemáticamente las mejores prácticas de ciberseguridad, aprovechar todas las oportunidades disponibles para reforzar tu postura de seguridad y dar prioridad a la gestión de parches. Dado que los profesionales que no se dedican a la seguridad suelen ser los más susceptibles, es vital realizar una formación rutinaria de concienciación sobre la seguridad.