Cuidado al descargar alguna herramienta para atacar Cibernéticamente a Rusia
Cuidado al descargar alguna herramienta para atacar Cibernéticamente a Rusia
Recientemente se han encontrado diferentes tipos de herramientas para realizar ataques hacia rusia, tenga cuidado podría ser un malware que está circulando, disfrazado de una herramienta cibernética pro-Ucrania
En un aviso de amenazas del miércoles, Cisco Talos describió una campaña en la que se observa en la que un actor de amenazas ofrecía una supuesta herramienta de denegación de servicio distribuida (DDoS) en Telegram, que supuestamente está destinada a atacar sitios web rusos.
En verdad, el archivo es en realidad el “ladrón de información” de Phoenix que busca credenciales e información de criptomonedas, según los investigadores. Phoenix es un registrador de teclas que surgió en el verano de 2019 y que, en cuestión de meses, se convirtió en un ladrón de información en toda regla con potentes módulos anti-detección y anti-análisis.
Phoenix es un registrador de teclas que surgió en el verano de 2019 y que, en cuestión de meses, se convirtió en un ladrón de información en toda regla con potentes módulos anti-detección y anti-análisis.
Los investigadores compartieron uno de esos comentarios de Telegram, que se muestra a continuación:
“¡Nos complace recordarle sobre el software que usamos para atacar sitios rusos!”, esperando saltar sobre los usuarios desprevenidos para desangrarles las criptomonedas almacenadas en billeteras y MetaMask (un software de billetera de criptomonedas comúnmente asociado con tokens no fungibles [NFT]).
“Muchos de estos cambios han sido provocados por el aumento de los ataques que se subcontratan a personas simpatizantes en Internet, lo que genera sus propios desafíos y amenazas únicos”, señaló Cisco . El aviso de amenaza hacía referencia a un tweet que exhortaba a las personas a unirse a un ejército de TI para luchar en el frente cibernético.
Los soldados en el frente reciben disparos, por supuesto, y los soldados en el frente cibernético corren el riesgo de ser arrestados. Después de todo, no importa cuán noble sea la causa del hackeo, aún es potencialmente ilegal, señaló Cisco.
Herramienta ‘legítima’ Disbalancer Liberator DDoS
El malware en el mensaje de Telegram se marca a sí mismo como un archivo .ZIP “Desequilibrador”. De hecho, hay un grupo llamado “disBalancer” que distribuye una herramienta de ataque DDoS “legítima” llamada, irónicamente, Liberator, descubrió Cisco, una herramienta para librar una guerra cibernética contra los “sitios web de propaganda rusa”.
“Una mirada rápida al sitio web de disBalancer muestra que el actor usa un lenguaje similar al del mensaje malicioso en Telegram… y promete apuntar a sitios rusos con el objetivo declarado de ayudar a ‘liberar’ a Ucrania”, según el artículo de Cisco.
La herramienta de disBalancer, Disbalancer.exe, está destinada sinceramente a DDoS Rusia.
“Si un investigador intenta depurar la ejecución del malware, se enfrentará a un error general. El malware, después de realizar las comprobaciones anti-depuración, lanzará Regsvcs.exe, que se incluye junto con el marco .NET”, según el informe. “En este caso, el regsvcs.exe no se usa como un binario living off the land (LoLBin). Se inyecta con el código malicioso, que consiste en el ladrón de información de Phoenix”.
Los actores detrás de esta campaña no son los novatos que acuden al frente. Más bien, la evidencia muestra que han estado distribuyendo ladrones de información desde al menos noviembre, dijo Cisco, como lo demuestra el hecho de que el ladrón de información extrae información robada a una dirección IP remota, en este caso, una IP rusa: 95[.]142.46. 35: en el puerto 6666.
Ese par IP/puerto “ha estado distribuyendo “phishing” desde al menos noviembre de 2021”, dijeron los investigadores. La longevidad de la pareja refuerza la creencia de los investigadores de que estos son actores experimentados en el trabajo, que se aprovechan de la calamidad de Ucrania, en lugar de actores de amenazas nuevos en la escena.
El pishing está absorbiendo una amplia gama de información, dijo Cisco. “El archivo .ZIP proporcionado en el canal de Telegram contiene un ejecutable, que es el ladrón de información”, según el informe. “El ladrón de información recopila información de una variedad de fuentes, incluidos navegadores web como Firefox y Chrome y otras ubicaciones en el sistema de archivos para obtener información clave”.
Los investigadores proporcionaron una captura de pantalla
Los ataques DDoS se han convertido en un serio desafío para las empresas modernas en todo el mundo y es por eso que las soluciones innovadoras que pueden proteger los sitios web de este tipo de ataques virtuales tienen una gran demanda en el mercado
Desafío
El volumen de tráfico de Internet que circula cada minuto en el entorno virtual global está aumentando rápidamente. Cada vez más empresas utilizan sus sitios web para interactuar con los clientes existentes y ganar nuevos. Al interrumpir el funcionamiento del sitio web, los competidores o los ciberdelincuentes pueden causar daños financieros y de reputación a la empresa objetivo, de modo que esta última pierda su competitividad en el mercado. Uno de los métodos más utilizados para bloquear un sitio web es la realización de un ataque de denegación de servicio distribuido (DDoS). Durante un ataque de este tipo, un sitio web se ve abrumado con solicitudes que sobrecargan su infraestructura. Los ataques provienen de múltiples ubicaciones. Los ataques DDoS pueden ser cometidos por empresas que se esfuerzan por vencer a sus competidores o por grupos criminales y hackers individuales para solicitar una compensación financiera..
Nodos principales
En el núcleo de la red se encuentran los Nodos Principales que aseguran el funcionamiento efectivo del sistema descentralizado. Los nodos principales se distribuirán por todo el mundo y serán administrados por el equipo de disBalancer.
Los usuarios verificados también pueden implementar sus nodos que, a su vez, pueden convertirse en el Nodo principal con el fin de equilibrar la carga. Como resultado, cuando se configura el nodo principal, el tráfico pasa por el nodo y no se produce la saturación del servidor.
links https://threatpost.com/malware-posing-russia-ddos-tool-bites-pro-ukraine-hackers/178864/ https://hackenclub.medium.com/meet-disbalancer-how-it-works-f953b5bf4538 https://disbalancer.com