Investigadores de ciberseguridad han descubierto la identidad real del actor de amenazas detrás pollos dorados malware-as-a-service, que se hace llamar «badbullzvenom» en línea.
La Unidad de Respuesta a Amenazas (TRU) de eSentire, en un informe exhaustivo publicado luego de una investigación de 16 meses, dicho «encontró múltiples menciones de la cuenta badbullzvenom compartida entre dos personas».
Se dice que el segundo actor de amenazas, conocido como Frapstar, se identifica como «Chuck de Montreal», lo que permite a la empresa de ciberseguridad reconstruir la huella digital del actor criminal.
Esto incluye su nombre real, fotografías, domicilio, los nombres de sus padres, hermanos y amigos, junto con sus cuentas de redes sociales y sus intereses. También se dice que es el único propietario de una pequeña empresa que dirige desde su propia casa.
Pollos dorados, también conocidos como Araña Venenosa, es un proveedor de malware como servicio (MaaS) que está vinculado a una variedad de herramientas como Taurus Builder, software para crear documentos maliciosos; y More_eggs, un descargador de JavaScript que se usa para servir cargas útiles adicionales.
El arsenal cibernético del actor de amenazas ha sido utilizado por otros grupos ciberdelincuentes prominentes como Grupo Cobalto (también conocido como Cobalt Gang), Evilnum y FIN6, todos los cuales se estima que han causado pérdidas colectivas por un total de $ 1.5 mil millones.
Campañas anteriores de More_eggs, algunas que data de 2017han involucrado suplantación de identidad profesionales de negocios en LinkedIn con ofertas de trabajo falsas que dan a los actores de amenazas control remoto sobre la máquina de la víctima, aprovechándola para recopilar información o implementar más malware.
El año pasado, en una especie de reversión, se emplearon las mismas tácticas para atacar a los gerentes de contratación corporativa con currículos cargados de malware como vector de infección.
El registro documentado más antiguo de la actividad de Frapster se remonta a mayo de 2015, cuando Trend Micro descrito al individuo como un «criminal solitario» y un entusiasta de los autos de lujo.
«‘Chuck’, que usa múltiples alias para su foro clandestino, redes sociales y cuentas de Jabber, y el actor de amenazas que dice ser de Moldavia, han hecho todo lo posible para disfrazarse», dijeron los investigadores de eSentire Joe Stewart y Keegan Keplinger.
«También se han esforzado mucho para ofuscar el malware Golden Chickens, tratando de que la mayoría de las empresas de AV no lo detecten y limitando a los clientes a usar Golden Chickens SOLAMENTE para ataques dirigidos».
Se sospecha que Chuck es uno de los dos actores de amenazas que operan la cuenta badbullzvenom en el foro clandestino Exploit.in, con la otra parte posiblemente ubicada en Moldavia o Rumania, señaló eSentire.
La compañía canadiense de ciberseguridad dijo que descubrió además una nueva campaña de ataque dirigida a empresas de comercio electrónico, engañando a los reclutadores para que descarguen un archivo de acceso directo de Windows falso de un sitio web que se hace pasar por un currículum.
El acceso directo, un malware denominado VenomLNK, sirve como vector de acceso inicial para colocar More_eggs o TerraLoader, que posteriormente actúa como un conducto para implementar diferentes módulos, a saber, TerraRecon (para la creación de perfiles de víctimas), TerraStealer (para el robo de información) y TerraCrypt (para extorsión de ransomware).
«La suite de malware todavía se está desarrollando activamente y se vende a otros actores de amenazas», concluyeron los investigadores, instando a las organizaciones a estar atentas a posibles intentos de phishing.