El objetivo del malware era robar datos confidenciales
Google dijo el miércoles que obtuvo una orden judicial temporal en los EE. UU. para interrumpir la distribución de un malware de robo de información basado en Windows llamado CryptBot y "desacelerar" su crecimiento.
Mike Trinh y Pierre-Marc Bureau, del gigante tecnológico, dijeron que los esfuerzos son parte de los pasos que toma para "no solo responsabilizar a los operadores criminales de malware, sino también a aquellos que se benefician de su distribución".
Se estima que CryptBot infectó más de 670.000 computadoras en 2022 con el objetivo de robar datos confidenciales, como credenciales de autenticación, inicios de sesión en cuentas de redes sociales y billeteras de criptomonedas de los usuarios de Google Chrome.
Los datos recolectados luego se exfiltran a los actores de amenazas, quienes luego venden los datos a otros atacantes para usarlos en campañas de violación de datos. CryptBot se descubrió por primera vez en la naturaleza en diciembre de 2019.
El malware se entrega tradicionalmente a través de versiones modificadas maliciosamente de legítimos y populares paquetes de software, como Google Earth Pro y Google Chrome, que se alojan en sitios web falsos.
Además, una campaña de CryptBot descubierta por Red Canary en diciembre de 2021 implicaba el uso como vector de entrega de KMSPico, una herramienta no oficial que se usa para activar de forma ilegal Microsoft Office y Windows sin una clave de licencia.
Luego, en marzo de 2022, BlackBerry reveló detalles de una versión nueva y mejorada del ladrón de información malicioso que se distribuyó a través de sitios piratas comprometidos que pretenden ofrecer versiones "crackeadas" de varios software y videojuegos.
Se sospecha que los principales distribuidores de CryptBot, según Google, están operando una "empresa criminal mundial" con sede en Pakistán.
Google dijo que tiene la intención de usar la orden judicial, otorgada por un juez federal en el Distrito Sur de Nueva York, para "eliminar los dominios actuales y futuros que están vinculados a la distribución de CryptBot", lo que detiene la propagación de nuevas infecciones.
Para mitigar los riesgos que plantean tales amenazas, se recomienda descargar software solo de fuentes conocidas y confiables, analizar las reseñas y asegurarse de que el sistema operativo y el software del dispositivo se mantengan actualizados.
La divulgación se produce semanas después de que Microsoft, Fortra y el Centro de Análisis e Intercambio de Información de Salud (Health-ISAC) se unieran legalmente para desmantelar los servidores que alojaban copias heredadas e ilegales de Cobalt Strike para evitar el abuso de la herramienta por parte de los actores de amenazas.
También sigue los esfuerzos de Google para cerrar la infraestructura de comando y control asociada con una botnet denominada Glupteba en diciembre de 2021. Sin embargo, el malware regresó seis meses después como parte de una campaña "mejorada".
