Un nuevo backdoor desarrollado en Python ha sido descubierto por investigadores de seguridad, utilizando un servicio de túneles legítimo como puente para extraer credenciales. El malware se propaga mediante archivos maliciosos y aplica técnicas de evasión para esquivar antivirus. Una vez dentro, establece conexiones cifradas con un servidor C2, dificultando el bloqueo de su tráfico. Su objetivo es robar contraseñas almacenadas en navegadores como Chrome y Firefox, además de accesos a plataformas cloud como AWS y Azure.
Túneles legítimos como cobertura para el robo de datos 🕳️
El backdoor emplea un servicio de túneles legítimo para enmascarar su tráfico de comando y control, lo que complica la detección por parte de sistemas de seguridad perimetral. Escrito en Python, utiliza bibliotecas estándar para interactuar con el sistema operativo, extraer datos de los almacenes de contraseñas de navegadores y recolectar credenciales de servicios cloud mediante APIs. Su diseño modular permite actualizar módulos de robo sin modificar el núcleo del malware. Los investigadores señalan que su capacidad de evasión incluye comprobaciones de sandbox y retrasos en la ejecución para evitar análisis automatizados.
Los ciberdelincuentes también saben usar VPNs, pero para robar 🦹
Parece que hasta los malos se han modernizado y ahora usan túneles VPN como cualquier oficinista que quiere ver Netflix desde el trabajo. La diferencia es que ellos no buscan series, sino tus contraseñas de AWS y Azure. Lo más triste es que el servicio de túneles es completamente legal y legítimo, así que ni siquiera podemos culpar a la herramienta. Es como si un ladrón usara un Uber para llegar a tu casa: el coche no tiene la culpa, pero el viaje sigue siendo sospechoso.