Hasta 34 pandillas de habla rusa que distribuyen malware para robar información bajo el modelo de ladrón como servicio robaron no menos de 50 millones de contraseñas en los primeros siete meses de 2022.
«El valor de mercado clandestino de los registros robados y los detalles de las tarjetas comprometidas se estima en alrededor de $ 5,8 millones», dijo Group-IB, con sede en Singapur, en un informe compartido con The Hacker News.
Además de saquear contraseñas, los ladrones también recolectaron 2110 millones de archivos de cookies, 113 204 billeteras criptográficas y 103 150 tarjetas de pago.
La mayoría de las víctimas se encuentran en EE. UU., seguido de Brasil, India, Alemania, Indonesia, Filipinas, Francia, Turquía, Vietnam e Italia. En total, se infectaron 890.000 dispositivos en 111 países durante el período de tiempo.
Group-IB dijo que los miembros de varios grupos de estafa que están propagando los ladrones de información participaron previamente en la operación Classiscam.
Estos grupos, que están activos en Telegram y tienen alrededor de 200 miembros en promedio, son jerárquicos y consisten en administradores y trabajadores (o traficantes), estos últimos son responsables de conducir a los usuarios desprevenidos a los ladrones de información como RedLine y Raccoon.
Esto se logra mediante la creación de sitios web de cebo que se hacen pasar por empresas conocidas y atraen a las víctimas para que descarguen archivos maliciosos. Los enlaces a dichos sitios web, a su vez, se integran en las reseñas de videos de YouTube para juegos y loterías populares en las redes sociales, o se comparten directamente con los artistas de NFT.
«Los administradores suelen dar a los trabajadores tanto RedLine como Racoon a cambio de una parte de los datos robados o del dinero», dijo la empresa. «Algunos grupos usan tres ladrones al mismo tiempo, mientras que otros solo tienen un ladrón en su arsenal».
Luego de un compromiso exitoso, los ciberdelincuentes venden la información robada en la web oscura para obtener ganancias monetarias.
El desarrollo destaca el papel crucial que desempeña Telegram para facilitar una variedad de actividades delictivas, incluido el funcionamiento como un centro para anunciar actualizaciones de productos, ofrecer atención al cliente y filtrar datos de dispositivos comprometidos.
Los hallazgos también siguen a un nuevo informe de SEKOIA, que reveló que siete equipos de traficantes diferentes han agregado un ladrón de información prometedor conocido como Aurora a su conjunto de herramientas.
«La popularidad de los esquemas que involucran a los ladrones puede explicarse por la baja barrera de entrada», explicó Group-IB. «Los principiantes no necesitan tener conocimientos técnicos avanzados, ya que el proceso está totalmente automatizado y la única tarea del trabajador es crear un archivo con un ladrón en el bot de Telegram y dirigir el tráfico hacia él».