Los investigadores de seguridad Talos, dependiente de Cisco, encontraron un nuevo servicio llamado Dark Utilities, que proporciona una forma fácil y económica para que los ciberdelincuentes configuren un servidor Command and Control (C2) para sus operaciones maliciosas.
El servicio Dark Utilities proporciona a los actores de amenazas una plataforma que admite payloads basadas en Windows, Linux y Python, y elimina el esfuerzo asociado con la implementación de un canal de comunicación C2.
Un servidor C2 es la forma en que los adversarios controlan su malware en internet, enviando comandos, configuraciones y nuevas cargas útiles, y recibiendo datos recopilados de sistemas comprometidos.
La operación Dark Utilities es un «C2-as-a-Service» (C2aaS) que anuncia una infraestructura C2 fiable y anónima y todas las funciones adicionales requeridas por un precio inicial de solo 9,99 euros.
Un informe de Cisco Talos dice que el servicio tiene alrededor de 3.000 suscriptores activos, lo que traería a los operadores unos ingresos de unos 30.000 euros.
Dark Utilities surgió a principios de 2022 y ofrece capacidades C2 en toda regla tanto en la red Tor como en la web superficial. Aloja cargas útiles en el Sistema de Archivos Interplanetarios (IPFS), un sistema de red descentralizado para almacenar y compartir datos.
Se admiten múltiples arquitecturas y parece que los operadores están planeando expandir la lista para proporcionar un conjunto más amplio de opciones de dispositivos que podrían ser dirigidos.
Los investigadores de Cisco Talos dicen que la selección de un sistema operativo genera una cadena de comandos que «los actores de amenazas suelen incrustar en scripts de PowerShell o Bash para facilitar la recuperación y ejecución del Payload en las máquinas de las víctimas«.
El Payload seleccionada también establece la persistencia en el sistema de destino mediante la creación de una clave del Registro en Windows, o una entrada Crontab o un servicio Systemd en Linux.
Según los investigadores, el panel administrativo viene con múltiples módulos para varios tipos de ataques, incluida la denegación de servicio distribuida (DDoS) y el cryptojacking.
Con decenas de miles de actores de amenazas ya suscritos y el bajo precio, es probable que Dark Utilities atraiga a una multitud aún mayor de adversarios menos calificados. Además, el equipo de investigación de Cisco Talos, ha compilado una serie de indicadores de compromiso para Dark Utilities que podrían ayudar a las empresas a defenderse contra el malware que utiliza esta plataforma.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
