Cyphort Labs descubrió una amplia campaña de robo de datos que han denominado Nighthunter y que ha estado activa desde 2009, acumulando credenciales de inicio de sesión de los usuarios en numerosos servicios web y redes sociales, tales como Google, Yahoo, Facebook, Dropbox y Skype.
Según los investigadores, no parece probable que Nighthunter se dirigiera a organizaciones o industrias especÃficas, ya que varios mercados verticales se han visto afectados, incluyendo organizaciones energéticas, financieras, educativas, e incluso instituciones benéficas.
Se desconoce cual es la intención de la recopilación de datos, pero los atacantes tienen muchas opciones para aprovechar las credenciales y su potencial para el análisis y la correlación de los datos robados para montar ataques dirigidos. NightHunter utiliza SMTP (correo electrónico) para la exfiltración de datos en lugar de los mecanismos más comunes de C&C que utilizan protocolos web. Esto le hubiera permitido esconderse y robar datos en la vista de todos, debido a que las organizaciones han reforzado la detección de anomalÃas web para hacer frente a ataques avanzados.
La investigación de Cyphort comenzó con una muestra entregada a través de un correo electrónico de phishing. Este contenÃa un binario .Net que cuando se ejecuta roba credenciales de los usuarios y los envÃa a un servidor de correo electrónico remoto. Parece una técnica ingenua para la mayorÃa de los productos de seguridad “avanzados” existentes.
РCSO Espa̱a
