Unos investigadores de seguridad han descubierto un plan para hackear e infectar un gran número de webs y foros con el troyano Thantatos. Los investigadores de la empresa SurfWatch han descubierto la brecha y han detenido la infección.
Los investigadores de seguridad de la empresa SurfWatch han derribado un plan parahackear e infectar cientos de foros y webs alojados en la infraestructura de Invision Power Services. Esta empresa es la responsable de la plataforma de foros IP.Board, ahora conocida como IPS Community Suite, que también funciona como hosting para sitios web independientes o tiendas online. En el estudio que han publicado se puede ver parte de la información que sus especialistas han conseguido recolectar. A primeros de este mes la operación fue descubierta por los analistas de SurfWatch, que encontraron una brecha en los servidores de Invision Power Services. Entre sus clientes se encuentran equipos de ligas profesionales, así como medios de comunicación y de entretenimiento muy importantes.
¿Qué habría pasado si empresas como Evernote, la NHL, Time Warner Music, Bethersda Softworks o LiveNation hubieran visto comprometida su información? A nivel corporativo habría sido un desastre.
El ataque a IPS fue planeado por AlphaLeon
Los investigadores han encontrado en los datos recogidos que el responsable de la brecha ha sido un hacker conocido como AlphaLeon, a quien se asocia con el troyano Thanatos. Según se recoge, este hacker vende acceso a estos virus a través de la Deep Web. Como vendedor no lleva mucho tiempo en activo, aunque su experiencia y presencia indican que “lleva más de cinco años en activo” según el informe. Su acción se extiende por múltiples foros del Internet profundo y en foros abiertos.
Para que Thanatos pudiese crecer, AplhaLeon necesitaba extender el troyano tanto como fuera posible, para lo que diseñó un plan que después ejecutó. Su idea consistía encontrar y explotar una vulnerabilidad en la infraestructura de IPS, que ofrece la IPS Community Suite como una plataforma alojada y que funciona sobre servidores Amazon Web Services.
Cuando en SurfWatch descubrieron la actividad de este hacker alertaron a IPS en seguida. Allí no habían detectado nada todavía, de forma que trabajaron con ellos para verificar que, efectivamente, alguien había conseguido entrar dentro de la IPS Community Suite.
¿De qué es capaz Thanatos?
La historia de Thanatos es bastante interesante. Según el informe, se han investigado los primeros fragmentos del virus en el momento de su aparición, cuando se trataba de un troyano bancario muy prometedor que se vendía en la Deep Web. Ya hemos visto una pequeña lista de todas las cosas de las que es capaz, ya que su funcionalidad se vio aumentada mediante un sistema de add-ons.
Según el informe publicado por SurfWatch, el troyano parece ser capaz de:
- Robar credenciales bancarias y bitcoins.
- Conseguir y vender acceso a webcams de particulares.
- Infectar un equipo con ransomware.
- Enviar spam.
- Robar credenciales de plataformas de juegos como Steam.
- Lanzar un ataque DDoS.
Según se recoge, la campaña de infección de AlphaLeon aún no había empezadocuando se detectó la amenaza.
Thanatos vino para sustituir a ZeuS
Según se puede leer en SoftPedia, Thanatos empezó su andadura como una alternativa al botnet ZeuS ya desaparecido, o eso al menos dijeron entonces los investigadores de Proofpoint, sus descubridores. En un principio sus funcionalidades se dirigían más hacia el robo de datos bancarios como ya se ha comentado, aunque las capacidades de expansión de su funcionalidad estaban claras desde el minuto cero.
El troyano funciona en todas las versiones de Windows de XP en adelante, y no necesita privilegios de administrador. Puede evadir la detección de los antivirus, funciona en cualquier arquitectura ya sea de 32 o de 64 bits y está escrito en C++, Masm y Deplphi.
La principal funcionalidad de Thanatos es el módulo FormGrabber, que puede inyectar datos dentro de los procesos de navegadores de internet populares como Internet Explorer, Google Chrome, Firefox e incluso del mucho más reciente Microsoft Edge.
Una de sus características más curiosas es que es un troyano totalitario y celoso. Thanatos quiere ser el único virus de tu vida —qué romántico—, por lo que cuenta con una especie de módulo antivirus que busca otro malware en tu ordenador para después eliminarlo.
Source:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
