Resumen:


Hace unos días, los investigadores de seguridad de SafeBreach publicaron en un informe un señuelo de ataque contra VirusTotal, que les permitió recopilar alrededor de 1,000,000 de credenciales.

 

VirusTotal, es una plataforma en línea empleada para buscar y examinar archivos, enlaces o aplicaciones sospechosas, con la finalidad de encontrar virus y malware. 

 

En el informe, la firma de ciberseguridad enfatizó en que la investigación fue meramente realizada, con el propósito de determinar si algún actor de amenazas podría explotar el servicio de VirusTotal para robar credenciales.

 

Así mismo, destacó que fue con el uso de diferentes tipos de malware y monederos de criptomonedas no cifrados, que obtuvo el acceso a las credenciales. Sin embargo, aclaró que el ataque se llevó a cabo mediante el uso de la licencia y algunas otras herramientas de VirusTotal, como VT Graph, Retrohunt, entre otras.

 

Durante la ejecución del ataque, los investigadores utilizaron un malware denominado como Redline Stealer y emplearon foros populares como Snatch_Cloud o DrDark para descubrir datos sensibles de VirusTotal, que están fácilmente disponibles en la red. Posteriormente, buscaron binarios identificados por un motor antivirus para llevar a cabo la búsqueda de archivos denominados como “DomainDetects.txt”, ya que este tipo de archivos pueden ser exfiltrados por el malware de Redline Stealer. 

 

Finalmente, hicieron uso de las API de VirusTotal para realizar una búsqueda de archivos con datos robados. Fue así como encontraron un archivo RAR, que contenía una serie de datos exfiltrados pertenecientes a unas 500 víctimas, incluyendo las contraseñas de sitios web y también las URLs de páginas web relacionadas con el gobierno.

 

Cualquier atacante que desee hacer uso de este método, podría decirse que posee la capacidad de conseguir un número de credenciales casi ilimitado.

 

Este nuevo hallazgo supone un gran riesgo, ya que demuestra que VirusTotal puede ser comprometido con muy poco esfuerzo, sin la necesidad de tener un conocimiento basto en malware. 

 

Por el momento, los investigadores han intentado contactar a Google, quien es el propietario de VirusTotal, para que eliminen periódicamente los archivos con datos sensibles de los usuarios y prohíban las claves API que suben esos archivos.

 

En caso de que sé de a conocer más información sobre el caso, se lo haremos saber en breve.

 

Se le recomienda a todos los usuarios seguir las mejores prácticas en gestión de contraseñas, cambiando periódicamente sus claves, activando la autenticación multifactor y evitando reutilizar las contraseñas en diferentes sitios. 

 

Referencias:

https://www.helpnetsecurity.com/2022/01/18/virustotal-stolen-credentials/

https://www.hackread.com/virustotal-hacking-hackers-stolen-credentials-virustotal/

 

 

Folio 138