Noticias

Stealthworker: la fuerza bruta sigue de moda

Publicado

en

Aunque cada día conozcamos ataques más sofisticados, cada cierto tiempo aparecen patógenos como Stealthworker, que sirven para recordarnos que algunas técnicas de ataque clásicas, como la fuerza bruta, siguen muy vigentes en la actualidad, y siguen siendo una amenaza a tener muy en cuenta. Sobre todo si son ejecutados por una botnet bien organizada, con un reparto eficiente de tareas y cierta inteligencia detrás de cada ataque.

En un análisis publicado hoy, el investigador de seguridad de Akamai, Larry Cashdollar, proporciona detalles técnicos sobre una pieza de malware que es similar a Stealthworker, una herramienta de fuerza bruta basada en Golang que Malwarebytes y Fortinet ya analizaron en el pasado. Un patógeno que encontró en una honeypot gestionda por el mismo, y en la que aloja una instalación de WordPress.

Gracias a poder hacerse con el patógeno y analizar su funcionamiento, Cashdollar ha podido describir su funcionamiento, que sin duda es muy interesante. Como ya comentaba al principio, Stealthworker funciona dentro de una botnet, más concretamente de una del tipo centralizado, con un servidor de comando y control para recibir órdenes. Y aquí es donde aparece un aspecto muy interesante de este malware, ya que las instrucciones no solo se referirán a los sistemas a atacar, sino que su labor puede ser de dos tipos distintos.

Y es que, aunque Stealthworker se basa en la fuerza bruta, en realidad hablamos de una fuerza bruta un tanto refinada, ya que una de las dos tareas que puede recibir el patógeno es analizar los sistemas objetivo para extraer información que, posteriormente, se pueda emplear para afinar el ataque. Etiquetas, como autor, correo electrónico y otros identificadores, son empleados para confeccionar un ataque personalizado, en el que la fuerza bruta cuenta con elementos confeccionados exclusivamente para esa víctima.

La segunda tarea, claro, consiste en el propio ataque de fuerza bruta. Si se han empleado credenciales sencillas, comunes o fáciles de deducir, y no se ha protegido la instalación del servicio atacado ni el proceso de autenticación con, por ejemplo 2FA, es bastante probable que Stealthworker sea capaz, tarde o temprano, de dar con unas credenciales válidas para el sistema atacado. Momento a partir del cual el sistema estará infectado, sus datos se verán comprometidos y, además, se convertirá en un zombie más al servicio del operador del patógeno.

Lo más leído

Salir de la versión móvil