Campaña masiva de malware roba las contraseñas de todos

¿Quién, o qué, es NightHunter? ¿Y qué es lo que quiere? Los investigadores de seguridad descubrieron la semana pasada que en los últimos cinco años, un grupo misterioso ha estado robando las credenciales de usuario de Facebook, Dropbox, Skype, Amazon, LinkedIn, Google, Yahoo, Hotmail, el portal Web de la India Rediff y varios bancos. Apodado NightHunter, la campaña parece haber amasado una enorme base de datos de información robada.

hacking

Los objetivos de los ataques siguen siendo poco claros. NightHunter parece no ser directo, simplemente está interesado en recoger el mayor número de credenciales de usuario como sea posible, de acuerdo con Santa Clara, empresa de seguridad con sede en California Cyphort, que descubrió y nombró NightHunter.

MÁS: Mejor Antivirus

La campaña NightHunter involucra diferentes tipos de keyloggers, incluyendo Predator Pain, Limitless y Spyrex. Lo que diferencia a NightHunter – y ha hecho que sea tan difícil de rastrear – es el hecho de que el malware transmite sus datos capturados de nuevo a los criminales de una manera inusual: por correo electrónico.

La mayoría del malware se comunica con sus operadores a travez de protocolos de Internet como HTTP o Internet Relay Chat. Pero el malware NightHunter utiliza el protocolo de correo electrónico SMTP, que ha estado presente desde 1982. SMTP «está obsoleta y, a menudo pasado por alto, por lo que puede ser una forma más sigilosa de robo de datos», escribió McEnroe Navaraj de Cyphort en un blog de la compañía dedicado a divulgar los hallazgos.

El método preferido por NightHunter para infectar los equipos de destino parece ser a través de correos electrónicos de phishing, dice Navaraj. Estos correos electrónicos se envían a personal de las finanzas, las ventas o los departamentos de recursos humanos de todo tipo de empresas y grandes organizaciones. Adjuntando archivos .Doc, .Zip o .rar, a veces con falsos IDM o falsos instaladores 7zip. Algunos de los correos electrónicos de phishing se hacen de tal forma que parecen de agentes de bienes de reventa.

Además de registrar las pulsaciones de teclado del usuario, el malware NightHunter también recopila y transmite información acerca de los navegadores web, mensajería instantánea y correo electrónico de los clientes, gestores de contraseña, billeteras Bitcoin o juegos de video presentes en un equipo infectado.

Desde 2009, NightHunter ha amasado una enorme base de datos de credenciales robadas de los servicios en línea antes mencionadas que, según Cyphort, dejan a quien esté detrás de esta compañía en posición de hacer mucho daño.

«El potencial segun el análisis y la correlación de los datos robados para montar ataques dañinos altamente estrategicos, es alta», Navaraj escribió en el blog. «Los actores detrás de NightHunter pueden usar el tesoro de credenciales robadas para aprovechar los grandes datos y crear nuevas ciberamenazas, con fines de extorsión, fraude bancario, el robo de secretos de estado o espionaje corporativo.»

Comenzar una Conversación

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *