No es habitual encontrar kits de hacking a la venta utilizando un servicio disponible a través de Internet. En esta ocasión, los ciberdelincuentes se han valido del portal de vídeos Youtube para llevar a cabo la venta herramientas que permiten crear ataques phishing. Lo que no saben los compradores es que este software está infectado con puertas traseras.
Obviamente los compradores de este software no se esperan que sus «colegas» incorporen malware, permitiendo en esta ocasión el control remoto de los equipos en los que se ejecuta la utilidad. Estos enlaces han estado disponibles a través de Youtube durante varios meses insertados en la descripción de los vídeos. Por desgracia, no existe una función que permita detectar la presencia de este tipo de enlaces, de ahí que se tarde tanto en reaccionar ante este tipo de prácticas.
Pero merece la pena explicar el motivo que ha llevado a los propietarios del kit la inclusión de esta puerta trasera.
Robar los datos obtenidos de los ataques gracias a las puertas traseras
Cuando se creaba el ataque, se indicaba en qué ubicación se almacenaban los datos recopilados. Para hacer el trabajo mucho más sencillo, podría decirse que han realizado la venta de la herramienta y en vez de desplegar ellos mismos los ataques, eran los compradores sobre los que recaía el trabajo sucio, procediendo posteriormente gracias a la puerta trasera a la recopilación de los mismos. En el código de la amenaza existía cierta información que permitía una monitorización de cada copia, enviada a una dirección de Gmail que no ha trascendido.
La idea era ingeniosa pero como es habitual se han cometido algunos errores que al final permitirían a las autoridades encontrar la persona o personas que han puesto a la venta la amenaza utilizando el portal de vídeos.
Youtube no actúa de forma correcta
Las comparaciones son odiosas, pero al escribir esta noticia no podemos evitar pensar en la Play Store. Los expertos en seguridad firman que desde el servicio de vídeos no se están tomando las medidas necesarias para restringir la publicación de este tipo de contenidos. Esto quiere decir que pueden existir enlaces en descripciones que conduzcan a los usuarios a la descarga de contenidos malware y que por el momento los responsables del servicio no están tomando medidas para dar la vuelta a la situación.
Al final lo único que se puede hacer es reportar este tipo de contenidos para que se realice sus supresión.