Zoho como la principal forma de Capturadores de teclado para enviar los datos robados

De acuerdo a Cofense de Inteligencia, el 40% de los Capturadores de teclado enviar la información recogida a la dirección de correo electrónico vinculada a zoho.com o zoho.de la ue de dominio.

Zoho es la empresa de la India, con el foco en el desarrollo de productos de software que permiten a los usuarios administrar la infraestructura TI de las empresas locales y regionales. Este fabricante también proporciona un libre acceso a dichas herramientas de colaboración como el correo electrónico, chat, procesador de textos, hojas electrónicas, etc.

Como Cofense informó, Registrador de teclas operadores utilizar Zoho dirección de correo electrónico para crear una cuenta gratuita, así como para recibir los datos robados, los cuales son enviados por el malware como una carta. A veces los hackers robar una cuenta de usuario para el mismo propósito.

El representante de Threatpost, un analista líder en Cofense Darrell Rendell mencionó que los investigadores lograron detectar la actividad maliciosa en Zoho plataforma mediante la interceptación de los Capturadores de teclado " tráfico SMTP.

El experto dijo que los investigadores fueron capaces de rastrear el malware de conexión a smtp.zoho.com. Desde smtp.zoho.com permite el uso de STARTTLS (cifrado del tráfico de la red), tenían que aplicar la interceptación específica y el tráfico de las técnicas de análisis. Los datos enviados a Zoho direcciones también pueden ser detectados por el análisis del malware en la memoria. De una manera o de otra, los especialistas aseguraron que las cartas contienen la misma información como las pulsaciones de teclado, en base64 cifrado capturas de pantalla, robo de contraseñas, historial del navegador.

Rendell ha explicado que Zoho servicios web son atractivos para los ciberdelincuentes, por dos motivos principales: el uso gratuito y un gran número de usuarios. Operan sobre el principio de "software como servicio" (SaaS), y cuando una organización envía archivos a la nube, se convierte en algo muy atractivo para los atacantes debido al número y la variedad de los usuarios finales. Si la plataforma, por ejemplo, tiene más de 30 millones de usuarios, luego de hacking menos del 1% de las cuentas es más que suficiente para un atacante necesario crear el C&C de tráfico.

El problema en este caso es poco fiable de protección, incluyendo la autenticación multifactor y débil control de la creación de la cuenta. El interlocutor de Threatpost también destacó que un simple script que le ayudará a automatizar completamente el proceso de cuentas de la creación.

De acuerdo a Cofense investigación, el número de personas que utilizan los Capturadores de teclado es significativamente mayor. Ojo de halcón y Agente de Tesla están entre los más frecuentes, los ataques de este tipo se han detectado esta primavera y dirigido a empresas de transporte.

Según los expertos, el Agente de Tesla y ojo de halcón Capturadores de teclado tienen características adicionales para robar información. Randall también hizo hincapié en que la variedad de malicioso funciones permite a estas familias para robar datos tanto en el modo de tiempo real y la retroactividad — de almacenes, carteras, cachés, archivos de configuración, etc. Así, los datos son robados, serializado y preparado, entonces ¿qué? A continuación, toda la información es enviada al panel de operador o el peligro de la cuenta de correo electrónico. La gran mayoría de los Capturadores de teclado el uso de la segunda variante.