Google dijo el miércoles que obtuvo una orden judicial temporal en los EE. UU. para interrumpir la distribución de un malware de robo de información basado en Windows llamado CryptBot y «desacelerar» su crecimiento.
Mike Trinh y Pierre-Marc Bureau del gigante tecnológico dicho los esfuerzos son parte de los pasos que toma para «no solo responsabilizar a los operadores criminales de malware, sino también a aquellos que se benefician de su distribución».
CryptBot Se estima que infectó más de 670,000 computadoras en 2022 con el objetivo de robar datos confidenciales, como credenciales de autenticación, inicios de sesión en cuentas de redes sociales y billeteras de criptomonedas de los usuarios de Google Chrome.
Los datos recolectados luego se exfiltran a los actores de amenazas, quienes luego venden los datos a otros atacantes para usarlos en campañas de violación de datos. CryptBot era descubierto por primera vez en estado salvaje en diciembre de 2019.
El malware se entrega tradicionalmente a través de versiones modificadas maliciosamente de paquetes de software legítimos y populares, como Google Earth Pro y Google Chrome, que se alojan en sitios web falsos.
Además, una campaña de CryptBot descubierta por Red Canary en diciembre de 2021 implicaba el uso de KMSPico, una herramienta no oficial que se usa para activar de forma ilegal Microsoft Office y Windows sin una clave de licencia, como vector de entrega.
Luego, en marzo de 2022, BlackBerry revelado detalles de una versión nueva y mejorada del ladrón de información malicioso que se distribuyó a través de sitios piratas comprometidos que pretenden ofrecer versiones «crackeadas» de varios software y videojuegos.
Se sospecha que los principales distribuidores de CryptBot, según Google, están operando una «empresa criminal mundial» con sede en Pakistán.
Google dijo que tiene la intención de usar la orden judicial, otorgada por un juez federal en el Distrito Sur de Nueva York, para «eliminar los dominios actuales y futuros que están vinculados a la distribución de CryptBot», lo que detiene la propagación de nuevas infecciones.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Para mitigar los riesgos que plantean tales amenazas, se recomienda descargar software solo de fuentes conocidas y confiables, analizar las reseñas y asegurarse de que el sistema operativo y el software del dispositivo se mantengan actualizados.
La divulgación se produce semanas después de que Microsoft, Fortra y el Centro de Análisis e Intercambio de Información de Salud (Health-ISAC) se unieran legalmente para desmantelar los servidores que alojaban copias heredadas e ilegales de Cobalt Strike para evitar el abuso de la herramienta por parte de los actores de amenazas.
También sigue los esfuerzos de Google para cerrar la infraestructura de comando y control asociada con una botnet denominada Glupteba en diciembre de 2021. Sin embargo, el malware regresó seis meses después como parte de una campaña «ampliada».