Un actor de amenazas no identificado ha sido vinculado a un conjunto de herramientas de malware en desarrollo activo llamado «Eternity Project» que permite a los ciberdelincuentes profesionales y aficionados comprar ladrones, cortadores, gusanos, mineros, ransomware y un bot de denegación de servicio distribuido (DDoS). .
Lo que hace que este malware como servicio (MaaS) se destaque es que además de usar un canal de Telegram para comunicar actualizaciones sobre las funciones más recientes, también emplea un Telegram Bot que permite a los compradores construir el binario.
«Los [actores de amenazas] brindan una opción en el canal de Telegram para personalizar las funciones binarias, lo que proporciona una forma efectiva de crear binarios sin dependencias», dijeron los investigadores de Cyble en un informe publicado la semana pasada.
Cada uno de los módulos se puede arrendar por separado y brinda acceso pago a una amplia variedad de funciones:
- Eternity Stealer ($260 por una suscripción anual): extrae contraseñas, cookies, tarjetas de crédito, extensiones de criptomonedas del navegador, billeteras criptográficas, clientes VPN y aplicaciones de correo electrónico de la máquina de la víctima y las envía al Telegram Bot
- Eternity Miner ($ 90 como suscripción anual): abusa de los recursos informáticos de una máquina comprometida para extraer criptomonedas
- Eternity Clipper ($ 110): un programa de criptografía que roba criptomonedas durante una transacción al sustituir la dirección de la billetera original guardada en el portapapeles con la dirección de la billetera del atacante.
- Eternity Ransomware ($ 490): un ejecutable de ransomware de 130 kb para cifrar todos los archivos de los usuarios hasta que se pague un rescate
- Eternity Worm ($ 390): un malware que se propaga a través de unidades USB, redes locales compartidas, archivos locales y mensajes de spam transmitidos en Discord y Telegram.
- Eternity DDoS Bot (N/A): se dice que la característica está actualmente en desarrollo.
Cyble señaló que hay indicios de que los autores de malware pueden estar reutilizando el código existente relacionado con DynamicStealer , que está disponible en GitHub, y comerciándolo con un nuevo nombre para obtener ganancias.
Vale la pena señalar que Jester Stealer, otro malware que salió a la luz en febrero de 2022 y desde entonces se ha utilizado en ataques de phishing contra Ucrania , también utiliza el mismo repositorio de GitHub para descargar proxies TOR, lo que indica posibles vínculos entre los dos actores de amenazas.
La firma de ciberseguridad también dijo que «ha observado un aumento significativo en los delitos cibernéticos a través de los canales de Telegram y los foros de delitos cibernéticos donde [los actores de amenazas] venden sus productos sin ninguna regulación».
La semana pasada, BlackBerry expuso el funcionamiento interno de un troyano de acceso remoto llamado DCRat (también conocido como DarkCrystal RAT) que está disponible para la venta a precios económicos en foros rusos de piratería y utiliza un canal de Telegram para compartir detalles sobre actualizaciones de software y complementos.
