Registros de malware en la Dark Web exponen a 3,300 usuarios vinculados a sitios de abuso infantil

Luis Quiles
Luis Quiles
phishing
Dark Web, Ciber crimen

Un análisis de los registros de malware de robo de información publicados en la dark web ha llevado al descubrimiento de miles de consumidores de material de abuso sexual infantil (CSAM), indicando cómo dicha información podría ser utilizada para combatir crímenes graves.

«Aproximadamente 3,300 usuarios únicos fueron encontrados con cuentas en fuentes conocidas de CSAM», dijo Recorded Future en un informe de prueba de concepto (PoC) publicado la semana pasada. «Un notable 4.2% tenía credenciales para múltiples fuentes, lo que sugiere una mayor probabilidad de comportamiento delictivo».

En los últimos años, las variantes de info-stealers de uso generalizado se han convertido en una amenaza omnipresente y extendida que apunta a diversos sistemas operativos con el objetivo de extraer información sensible como credenciales, billeteras de criptomonedas, datos de tarjetas de pago y capturas de pantalla.

Esto se evidencia en el surgimiento de nuevas cepas de malware stealer, como Kematian Stealer, Neptune Stealer, 0bj3ctivity, Poseidon (anteriormente RodStealer), Satanstealer y StrelaStealer.

Distribuido a través de campañas de phishing, spam, software pirateado, sitios web de actualizaciones falsas, envenenamiento de SEO y malvertising, los datos recolectados mediante estos programas típicamente encuentran su camino hacia la dark web en forma de registros de stealer, desde donde son comprados por otros ciberdelincuentes para continuar con sus esquemas.

cams

«Los empleados regularmente guardan credenciales corporativas en dispositivos personales o acceden a recursos personales en dispositivos organizacionales, aumentando el riesgo de infección», señaló Flare en un informe el pasado julio.

«Existe un ecosistema complejo en el cual los vendedores de malware como servicio (MaaS) venden malware de robo de información en canales ilícitos de Telegram, los actores de amenazas lo distribuyen a través de software pirateado o correos electrónicos de phishing, y luego venden registros de dispositivos infectados en mercados especializados de la dark web.»

El grupo Insikt de Recorded Future dijo que pudo identificar 3,324 credenciales únicas utilizadas para acceder a dominios conocidos de CSAM entre febrero de 2021 y febrero de 2024, utilizando esta información para desenmascarar a tres individuos que mantenían cuentas en al menos cuatro sitios web.

El hecho de que los registros de stealers también incluyan direcciones de billeteras de criptomonedas significa que podrían usarse para determinar si esas direcciones han sido utilizadas para adquirir CSAM y otro material dañino.

Además, países como Brasil, India y Estados Unidos tenían el mayor número de usuarios con credenciales para comunidades conocidas de CSAM, aunque la empresa mencionó que esto podría deberse a una «sobrerrepresentación debido a la fuente de datos del conjunto».

«Se proyecta que el malware de robo de información y las credenciales robadas seguirán siendo fundamentales en la economía cibercriminal debido a la alta demanda por parte de actores de amenazas que buscan acceso inicial a objetivos», dijo la empresa, añadiendo que ha compartido sus hallazgos con las fuerzas del orden.

«Los registros de malware de robo de información pueden ser utilizados por investigadores y socios de las fuerzas del orden para rastrear la explotación infantil en la dark web y proporcionar información sobre una parte de la dark web que es especialmente difícil de rastrear.»

Comparte este artículo :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética