Los "Script Kiddies" son hackeados: lo que significa para la economía del cibercrimen

El descubrimiento de un Troyano disfrazado como software para ayudar a los hackers de baja habilidad a crear malware XWorm RAT indica la madurez y complejidad de la próspera economía del cibercrimen, y nos recuerda que no hay honor entre ladrones.

Imagina que eres un joven aspirante a hacker con ambición. No eres un experto programador. En su lugar, has encontrado tu camino al mercado de la web oscura para herramientas y servicios de ciberdelincuencia. Allí, eres como un niño en una tienda de golosinas. Por precios muy razonables, puedes comprar o alquilar software de pintar por números que facilita la creación y el despliegue de un ciberataque. Una pequeña tarifa adicional añade soporte técnico 24 horas.

Ransomware como servicio (RaaS) y phishing como servicio (PhaaS) lo hacen aún más fácil, y su uso está aumentando constantemente. En agosto de 2023, Interpol eliminó una operación de PhaaS que tenía 70,000 clientes activos.

Problemas de confianza

El problema para nuestro joven hacker hipotético, uno de un tipo conocido como "script kiddies", es que todos con quienes trata en ese mercado son básicamente criminales. Lo cual plantea preguntas potenciales sobre quién puede ser de confianza.

Bueno, el mes pasado 18.000 script kiddies descubrieron lo que sucede cuando se deposita la confianza en el lugar equivocado. Creían que estaban descargando un creador de XWorm RAT gratuito: un software para automatizar la producción de una amenaza cibernética.

En su lugar, lo que instalaron en sus sistemas fue malware que creó una puerta trasera para permitir que actores de amenazas controlaran sus ordenadores con Windows.

Cómo funcionó

Una vez que un sistema estaba infectado, se registraba en un servidor de mando y control basado en Telegram.

El malware roba y exfiltra automáticamente los tokens de Discord, la información del sistema y los datos de ubicación.

Una vez conectados al servidor, los actores de amenazas pueden emitir comandos, incluyendo el robo de contraseñas guardadas y datos del navegador, registrar pulsaciones de teclas, capturar la pantalla, cifrar archivos, terminar el software de seguridad, y exfiltrar archivos específicos.

Los investigadores de amenazas que descubrieron la infección pudieron identificar y transmitir un comando de desinstalación para el malware, lo cual lo eliminó de muchas, pero no de todas, las máquinas infectadas.

Qué significa

"La falta de honor entre ladrones" podría ser la primera respuesta que se nos ocurra a muchos. Pero creo que la verdad es un poco más complicada.

Cualquier mercado exitoso, para comprar y vender cualquier cosa, requiere un cierto nivel de confianza. Debe haber confianza en que los contratos serán cumplidos. Y por esa medida, la economía del ciberdelito es un mercado muy confiable, donde la gran mayoría de las transacciones se realizan sin fraude.

Pero es este mismo éxito como un mercado confiable lo que constituye la condición para la aparición del fraude y el comportamiento malicioso. Los compradores poco sofisticados en cualquier mercado—como nuestros script kiddies en el mercado de malware—son demasiado confiados, lo que los convierte en objetivos fáciles para los estafadores que operan en los márgenes del mercado, beneficiándose de la confianza y la reputación general que el mercado ha logrado.

"Comprador, ten cuidado" es una actitud sabia en cualquier mercado. Pero lo que nos cuenta la historia de los script-kiddies constructores de malware falso es que la economía del cibercrimen clandestino es un mercado completamente maduro, donde la mayoría de los ciberdelincuentes pueden hacer negocios con confianza.