En un giro inesperado, investigadores de Sophos X-Ops, una iniciativa de ciberseguridad que une a más de 500 expertos en inteligencia de amenazas, operaciones y respuesta a incidentes, han descubierto una campaña masiva donde los ciberdelincuentes se atacan entre sí, y también a los gamers. ¿Cómo? A través de 133 repositorios maliciosos en GitHub, disfrazados de herramientas de hacking y trucos para videojuegos.
La trampa es sencilla pero efectiva: los repositorios parecen ofrecer malware funcional, herramientas de ataque o cheats para juegos. Sin embargo, al compilar o ejecutar el código, los usuarios no obtienen lo prometido. En cambio, sus computadoras se infectan con malware real, como robadores de información y troyanos de acceso remoto (RAT, por sus siglas en inglés).
Lo más sorprendente es que, a pesar de la variedad de repositorios y su publicidad engañosa, la mayoría se vincula a una misma dirección de correo electrónico rusa. Esto sugiere que se trata de una campaña orquestada por un solo grupo o individuo.
Sophos ya había rastreado antes este tipo de ataques entre ciberdelincuentes. De hecho, existe un submundo dedicado a estafar a los estafadores. Un ejemplo reciente son las disputas entre los grupos DragonForce y RansomHub. Esta última investigación no parece estar vinculada a un grupo de ransomware, pero las tácticas reflejan patrones observados en ejemplos de ciberdelincuentes que se atacan entre sí, ya sea por rivalidades personales, lucha por el dominio o motivaciones financieras.
¿Qué encontraron los investigadores?
• El 58% de los repositorios se anunciaban como cheats para juegos, el 24% como proyectos de malware y el 5% como herramientas de criptomonedas.
• Los creadores usaron cuatro versiones distintas de backdoors, que descargaban principalmente infostealers y AsyncRAT.
• Para que los repositorios parecieran legítimos, los atacantes enviaron miles de actualizaciones automáticas al código.
• Uno de los repositorios, llamado Sakura RAT, fue incluso promocionado sin querer por medios de comunicación y usuarios de redes sociales que especulaban sobre sus capacidades.
Afortunadamente, Sophos reportó los repositorios maliciosos a GitHub y otros sitios donde se alojaban los payloads, y la mayoría ya han sido eliminados.
¿Cómo funciona la trampa?
Los atacantes usaban diferentes métodos para ocultar el malware. En algunos casos, insertaban código malicioso en los archivos de configuración de los proyectos. En otros, usaban scripts de Python o archivos que simulaban ser salvapantallas. Incluso empleaban trucos para ocultar el código a simple vista.
Una vez infectado, el malware robaba información del usuario, tomaba capturas de pantalla, se comunicaba a través de Telegram y descargaba más payloads maliciosos, incluyendo troyanos de acceso remoto y ladrones de contraseñas.
La campaña demuestra que incluso los ciberdelincuentes pueden ser víctimas de sus propias trampas. También subraya la importancia de ser cauteloso al descargar software de fuentes no confiables, incluso si parecen ser herramientas para hackers o trucos para juegos.
Fuente: www.sophos.com
