(https://i.postimg.cc/sXJ143JX/Stealer-Cat.png) (https://postimages.org/)
Miles de pedófilos que descargan y comparten material de abuso sexual infantil (CSAM) fueron identificados a través de registros de malware de robo de información filtrados en la dark web, lo que destaca una nueva dimensión del uso de credenciales robadas en las investigaciones policiales.
El novedoso uso del conjunto de datos fue realizado por Insikt Group de Recorded Future, quien compartió un informe que explica cómo identificaron 3.324 cuentas únicas que accedieron a portales ilegales conocidos por distribuir CSAM.
Al aprovechar otros datos robados del objetivo, los analistas de Insikt podrían rastrear esas cuentas hasta obtener nombres de usuario en varias plataformas, derivar sus direcciones IP e incluso información del sistema.
Esta información recopilada por el Grupo Insikt se ha compartido con las fuerzas del orden para desenmascarar las identidades de estos individuos y proceder a los arrestos.
Usar registros de stealers para el bien
Un registro de stealer es una colección de datos robados de un individuo en particular mediante malware que roba información, como Redline, Raccoon y Vidar, de sistemas infectados.
Cuando estos tipos de malware se ejecutan en un dispositivo, recopilan credenciales, historial del navegador, cookies del navegador, datos de autocompletar, información de billetera de criptomonedas, capturas de pantalla e información del sistema.
Luego, la información se empaqueta en un archivo llamado "Log", que luego se transmite de regreso a los servidores del actor de la amenaza.
Luego, los actores de amenazas pueden usar estas credenciales robadas para violar más cuentas, realizar ataques corporativos o venderlas a otros ciberdelincuentes en la web oscura, Telegram y otras plataformas. Debido a su tamaño y número, estos troncos rara vez se analizan y clasifican, sino que se venden al por mayor.
Análisis anteriores han demostrado que los registros de ladrones de información pueden contener datos cruciales de cuentas comerciales o credenciales de cuentas que pueden exponer información patentada.
Como este tipo de malware se distribuye comúnmente a través de software pirateado, publicidad maliciosa y actualizaciones falsas, pueden desviar datos de los sistemas infectados durante períodos prolongados sin que la víctima se dé cuenta.
Esto incluye a los usuarios de CSAM que, sin su conocimiento, exponen todas las credenciales de su banca en línea, correo electrónico y otras cuentas legítimas, así como las credenciales de cuenta utilizadas para acceder a sitios de CSAM que requieren registro.
Identificación de consumidores de CSAM
Los analistas de Insikt utilizaron registros de robo de información capturados entre febrero de 2021 y febrero de 2024 para identificar a los consumidores de CSAM mediante la referencia cruzada de credenciales robadas con veinte dominios CSAM conocidos.
Luego eliminaron los duplicados para limitar los resultados a 3324 pares únicos de nombre de usuario y contraseña.
Cuentas vinculadas a sitios CSAM conocidos
(https://i.postimg.cc/wxbDHPsS/Accounts-linked-to-known-CSAM-sites.png) (https://postimages.org/)
Como el malware que roba información roba todas las credenciales guardadas en un navegador, los investigadores pudieron vincular a los titulares de cuentas CSAM con sus cuentas legales en línea, como correo electrónico, banca, compras en línea, operadores de telefonía móvil y redes sociales.
Luego utilizaron inteligencia de código abierto (OSINT) y artefactos digitales para recopilar información más reveladora sobre esos usuarios. Estas pistas incluyen:
Direcciones de billeteras de criptomonedas e historiales de transacciones.
Cuentas web que no son CSAM e historial de navegación.
Direcciones físicas, nombres completos, números de teléfono y direcciones de correo electrónico extraídas de los datos de autocompletar del navegador.
Asociaciones con diversos servicios en línea, como cuentas de redes sociales, sitios web gubernamentales y portales de solicitud de empleo.
El informe de Recorded Future destaca tres casos de personas identificadas, que se resumen a continuación:
"d****" - Residente de Cleveland, Ohio, previamente condenado por explotación infantil y registrado como delincuente sexual. Mantiene cuentas en al menos cuatro sitios CSAM.
"docto": residente de Illinois que trabaja como voluntario en hospitales infantiles y tiene antecedentes por robo en tiendas minoristas. Mantiene cuentas en nueve sitios web de CSAM.
"Bertty" – Probablemente un estudiante venezolano que mantiene cuentas en al menos cinco sitios CSAM. El historial de transacciones de criptomonedas implica al usuario con la posible compra y distribución de contenido CSAM.
Perfil de "docto" reconstruido mediante análisis de registros de infostealer
(https://i.postimg.cc/Z56N85DS/Docto-s-profile-as-reconstructed-by-infostealer-log-analysis.png) (https://postimages.org/)
El análisis de Insinkt destaca el potencial de los datos de los ladrones de información para ayudar a las autoridades a rastrear el abuso infantil y procesar a las personas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/infostealer-malware-logs-used-to-identify-child-abuse-website-members/