Un análisis de registros de malware que roba información publicados en la red oscura ha llevado al descubrimiento de miles de consumidores de material de abuso sexual infantil (CSAM), lo que indica cómo dicha información podría usarse para combatir delitos graves.
«Se encontraron aproximadamente 3.300 usuarios únicos con cuentas en fuentes de CSAM conocidas», registró Future dicho En un informe de prueba de concepto (PoC) publicado la semana pasada, se afirma que «un notable 4,2 % tenía credenciales para múltiples fuentes, lo que sugiere una mayor probabilidad de comportamiento delictivo».
En los últimos años, las variantes de robo de información disponibles en el mercado se han convertido en una penetrante y amenaza omnipresente apuntando a varios sistemas operativos con el objetivo de robar información confidencial como credenciales, billeteras de criptomonedas, datos de tarjetas de pago y capturas de pantalla.
Esto se evidencia en el aumento de nuevas cepas de malware ladrones como Ladrón de Kematian, Ladrón de Neptuno, 0bj3ctividad, Poseidón (anteriormente RodStealer), Ladrón de satanásy Ladrón de Strela.
Los datos recopilados mediante estos programas, que se distribuyen a través de phishing, campañas de spam, software pirateado, sitios web de actualizaciones falsas, envenenamiento de SEO y publicidad maliciosa, generalmente llegan a la red oscura en forma de registros de robo, desde donde otros ciberdelincuentes los compran para promover sus planes.
«Los empleados guardan regularmente las credenciales corporativas en dispositivos personales o acceden a recursos personales en dispositivos de la organización, lo que aumenta el riesgo de infección», dijo Flare. anotado en un informe del pasado mes de julio.
«Existe un ecosistema complejo en el que los proveedores de malware como servicio (MaaS) venden malware para robar información en canales ilícitos de Telegram, los actores de amenazas lo distribuyen a través de software pirateado falso o correos electrónicos de phishing y luego venden registros de dispositivos infectados en mercados especializados de la web oscura».
El Grupo Insikt de Recorded Future dijo que pudo identificar 3.324 credenciales únicas utilizadas para acceder a dominios CSAM conocidos entre febrero de 2021 y febrero de 2024, utilizándolas para desenmascarar a tres personas que mantenían cuentas en no menos de cuatro sitios web.
El hecho de que los registros de los ladrones también incluyan direcciones de billeteras de criptomonedas significa que podrían usarse para determinar si las direcciones se han utilizado para obtener CSAM y otro material dañino.
Además, países como Brasil, India y Estados Unidos tuvieron la mayor cantidad de usuarios con credenciales para comunidades CSAM conocidas, aunque la compañía dijo que podría deberse a una «sobrerrepresentación debido al origen del conjunto de datos».
«Se proyecta que el malware que roba información y las credenciales robadas seguirán siendo una piedra angular de la economía cibercriminal debido a la alta demanda por parte de los actores de amenazas que buscan acceso inicial a los objetivos», dijo, y agregó que ha compartido sus hallazgos con las fuerzas del orden.
«Los registros de los ladrones de información pueden ser utilizados por investigadores y socios encargados de hacer cumplir la ley para rastrear la explotación infantil en la red oscura y proporcionar información sobre una parte de la red oscura que es especialmente difícil de rastrear».