Seguridad

VirusTotal, de Google, ¿una herramienta para los ciberdelincuentes?

VirusTotal, de Google, ¿una herramienta para los ciberdelincuentes?
Escrito por Redacción TICbeat

El agregador de antivirus serviría a grupos internacionales de ciberatacantes para probar sus ataques antes de lanzarlos definitivamente.

Los hackers estarían aprovechando VirusTotal, la herramienta de Google que ofrece el análisis gratuito en busca de malware de URL y archivos sospechosos, para ayudarse en el desarrollo de sus próximos ataques. Pero lo más irónico no es eso: lo insólito del asunto es que seguir el rastro de estos ciberdelincuentes a través de la herramienta es sorprendentemente fácil.

Estos atacantes se estarían valiendo de la herramienta, adquirida por Google a la empresa española Hispasec Sistemas en 2012, para cerciorarse de la ausencia de fallos y bugs en su software malicioso, puesto que es mucho más sencillo detectar un virus que atora nuestro sistema que uno que actúa rápido y en silencio.

VirusTotal funciona como un agregador de diversos antivirus (más de 30), entre los que se encuentran escaneadores de firmas como Symantec y Kaspersky. El sistema notifica al usuario cuáles de los scanners con los que opera han detectado algún comportamiento malicioso en los archivos subidos.

Así lo relata a la revista Wired Brandon Dixon, un investigador independiente especializado en seguridad, que lleva años siguiendo el rastro de algunos archivos subidos a VirusTotal para ser escaneados, en los que ha encontrado información muy reveladora. Dixon ha aprovechado la “estela” que, para los suscriptores al servicio de pago, deja cada archivo cargado en VirusTotal, que incluye datos como el nombre del archivo, la fecha en la que fue agregado y el país del que procede. Y no solo ha sorprendido a ciberdelincuentes independientes, sino también a los equipos de hackers que países como China emplean para sus intereses.

A lo largo de su investigación, Dixon ha podido detectar archivos enviados por dos equipos de ciberespías chinos, entre ellos, un subgrupo del conocido Comment Crew, y uno iraní. También ha presenciado cómo, a medida que los atacantes desarrollaban el código de su malware, el número de escaneadores de VirusTotal que lo detectaban caía. En ocasiones, incluso, ha sido capaz de predecir cuándo se lanzaría un ataque; o de identificar a algunas de sus víctimas, en el momento en el que éstas enviaban el código de un virus recibido a VirusTotal.

Dixon se interesó por investigar el rastro de la actividad de los usuarios de VirusTotal cuando escuchó a varios expertos en seguridad sugerir que esta plataforma podría estar siendo utilizada por ciberatacantes. Hasta ahora se ha mostrado reticente a hablar públicamente de su trabajo, porque temía que los ciberdelincuentes cambiasen sus tácticas y él perdiera su rastro. Sin embargo, los grupos que ha observado en este tiempo han hecho muy poco para ocultarse, reconoce. Tan solo los miembros de Comment Crew decidieron, en un momento determinado, empezar a utilizar una IP diferente para cada archivo diferente, y no la misma para todos, como antes.

En cualquier caso, Dixon se ha decidido a hablar porque cree que ahora hay un historial de datos suficientes en VirusTotal como para identificar a numerosos grupos y sus actividades. En esta entrada en su blog detalla los descubrimientos que ha realizado.

Foto cc: John

 

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.