Actividades del Grupo Dark Partners
Recientemente, los hackers del grupo Dark Partners han sido vinculados a una red de billeteras de criptomonedas falsas y aplicaciones de trading fraudulentas. El investigador g0njxa ha revelado que este grupo está involucrado en el robo a gran escala de activos digitales. Estos hackers operan múltiples sitios que distribuyen malware disfrazado como servicios de inteligencia artificial, VPNs y software de criptomonedas, incluyendo versiones falsas de plataformas reconocidas como TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE y aplicaciones de Unusual Whales.
Detalles de la Campaña de Malware
Una campaña de malware en curso ha estado entregando el «PayDay Loader» a usuarios de Windows y el «Poseidon Stealer» a usuarios de macOS a través de sitios web que se hacen pasar por servicios de IA. La investigación de este malware se llevó a cabo con la colaboración de quienes informaron sobre esta actividad delictiva. El malware escanea los dispositivos de las víctimas en busca de billeteras previamente instaladas, como Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi, Ledger Live y MetaMask, para robar información sensible.
Los hackers también recopilan datos del host, credenciales, claves privadas y cookies, que posteriormente venden en el mercado negro. Además, g0njxa sugirió que Dark Partners está utilizando certificados de firma de código adquiridos para desarrollar malware para Windows.
Identificación de Líderes de Grupos de Hackers
Por otro lado, la Oficina Federal de Policía Criminal de Alemania (BKA) ha identificado al líder de los grupos de hackers Trickbot y Conti, conocido como Stern, como Vitaly Kovalev, un ruso de 36 años. Se ha emitido una orden de búsqueda por cargos de formar una organización criminal y se presume que se encuentra oculto en la Federación Rusa.
En febrero de 2023, Kovalev fue uno de los siete individuos sancionados por Estados Unidos debido a sus vínculos con Trickbot y Conti, siendo entonces considerado una figura de alto rango en estos grupos. Según informes del BKA, Trickbot cuenta con más de 100 miembros y es responsable de infectar cientos de miles de sistemas en todo el mundo, causando daños que ascienden a cientos de millones de dólares.
Malware Disfrazado de Herramientas de IA
Expertos de Cisco Talos han descubierto malware que se propaga como instaladores de herramientas de IA legítimas, incluidas versiones de ransomware como CyberLock y Lucky_Gh0$t, así como el malware Numero. Los operadores de CyberLock intimidan a las víctimas al afirmar que han obtenido acceso completo a documentos comerciales confidenciales y archivos personales, exigiendo $50,000 en Monero a cambio de la clave de descifrado y prometiendo enviar el dinero como ayuda humanitaria a diferentes países. Sin embargo, los expertos no han encontrado evidencia de funcionalidad de exfiltración de datos en el código del ransomware.
Lucky_Gh0$t opera de manera similar, mientras que Numero manipula los componentes de la interfaz reescribiendo el contenido de ventanas y botones con secuencias numéricas, volviendo inoperativo el sistema operativo.
Operaciones de la Policía en los Países Bajos
La policía de los Países Bajos, con el apoyo de sus contrapartes estadounidenses, ha bloqueado el servicio AVCheck, que era utilizado por criminales cibernéticos para probar su malware contra soluciones antivirus comerciales. Los investigadores también han vinculado a los administradores del sitio con servicios de criptomonedas como Cryptor.biz y Crypt.guru. El dominio de Cryptor.biz ha sido incautado, mientras que Crypt.guru ha dejado de estar operativo.
Estos servicios ayudan a los operadores de malware a ocultar sus datos, integrándolos en el mismo ecosistema.
Agentes encubiertos, haciéndose pasar por clientes, contribuyeron a cerrar estos servicios.
Nuevas Amenazas a la Privacidad
Un nuevo servicio llamado YouTube-Tools ha aparecido en línea, el cual afirma poder encontrar todos los comentarios realizados por un usuario de YouTube y, con la ayuda de la inteligencia artificial, crear un perfil que indique su lugar de residencia presumido, habilidades lingüísticas, intereses y opiniones políticas, según 404 Media. Aunque originalmente fue creado para estudiar nombres de usuario de League of Legends, sus capacidades se han expandido al utilizar un modelo de lenguaje grande modificado de Mistral.
Según el desarrollador, YouTube-Tools está destinado a agencias de aplicación de la ley; sin embargo, después de registrarse y pagar aproximadamente $20 al mes, queda disponible para cualquier persona.
Los expertos advierten que esta herramienta podría representar una amenaza significativa para la privacidad.
Iniciativas del Gobierno Británico
Por último, el Secretario de Defensa británico, John Healey, ha revelado los planes del gobierno para establecer un comando cibernético encargado de proteger al país de ataques de hackers, así como de apoyar operaciones cibernéticas militares. Esta nueva estructura modernizará los sistemas de orientación y coordinación de las unidades del ejército, utilizando tecnología de inteligencia artificial, con un costo estimado de £1 mil millones ($1.3 mil millones).
El Cyber Command también jugará un papel crucial en la guerra electrónica, interceptando comunicaciones enemigas y bloqueando drones. En los últimos dos años, las autoridades británicas han enfrentado cerca de 90,000 ciberataques provenientes de agencias de inteligencia extranjeras, principalmente de Rusia y China.
