Cyphort Labs descubrió una amplia campaña de robo de datos que han denominado Nighthunter y que ha estado activa desde 2009, acumulando credenciales de inicio de sesión de los usuarios en numerosos servicios web y redes sociales, tales como Google, Yahoo, Facebook, Dropbox y Skype.

Según los investigadores, no parece probable que Nighthunter se dirigiera a organizaciones o industrias específicas, ya que varios mercados verticales se han visto afectados, incluyendo organizaciones energéticas, financieras, educativas, e incluso instituciones benéficas.

Se desconoce cual es la intención de la recopilación de datos, pero los atacantes tienen muchas opciones para aprovechar las credenciales y su potencial para el análisis y la correlación de los datos robados para montar ataques dirigidos.  NightHunter utiliza SMTP (correo electrónico) para la exfiltración de datos en lugar de los mecanismos más comunes de C&C que utilizan protocolos web. Esto le hubiera permitido esconderse y robar datos en la vista de todos, debido a que las organizaciones han reforzado la detección de anomalías web para hacer frente a ataques avanzados.

La investigación de Cyphort comenzó con una muestra entregada a través de un correo electrónico de phishing. Este contenía un binario .Net que cuando se ejecuta roba credenciales de los usuarios y los envía a un servidor de correo electrónico remoto. Parece una técnica ingenua para la mayoría de los productos de seguridad “avanzados” existentes.

– CSO España