Pasarela internacional de malware

La pasarela mundial de malware de Any.run

Un correo spam llega directamente a la Bandeja de Entrada de mi e-mail personal.

Al parecer procede de uno de mis correos "sparring". En realidad proviene de otro servidor, con IP en Singapur.

Los correos sparring son aquellos que uso para registrarme en lugares de la "World Wild Web", presuntos nidos de malware; cuando los correos desechables no son suficiente.

Son buenos lugares para cazar troyanos frescos y poder luego estudiarlos.

La cadena de direcciones de correo incluye algunas listas de distribución que conozco, direcciones que han podido salir del interior de mi correo "sparring", e incluso alguna dirección obsoleta relacionada con mi trabajo.

Una de tres: o los malos han recogido mi sparring en alguna de las listas de distribución que aparecen en la cadena, o han asaltado la cuenta de correo o bien la dirección se ha filtrado en alguno de los innumerables leaks de datos que aparecen periódicamente.

La cuenta sparring sí ha formado parte de varios leaks a lo largo del tiempo. Si los delincuentes han accedido a la contraseña, da igual lo sencilla o complicada que pueda ser.

En el segundo caso, sería de esperar que hubiesen cambiado la contraseña y se hubiesen apoderado de esa cuenta de correo.

Lo compruebo. Entro sin problemas con la contraseña habitual. Puede que sean tan listos que quieran pasar desapercibidos, a la espera de conseguir alguna información personal o seguir compartiendo mi cuenta indefinidamente. Ante la duda, cambio la contraseña por enésima vez.

Estudiando un poco el historial cronológico de leaks, se aprecia que el más reciente, del 2019, tiene unas características interesantes. No se sabe cómo pudieron llegar los datos a donde llegaron y la absurda forma en que se hicieron públicos más de 800 millones de entradas.

Esta filtración se produjo en  Verifications.io, básicamente un portal de marketing para empresas que disponen de millones de correos electrónicos (conseguidos de cualquier manera) y pagan por saber cúantos están activos.

El trabajo de Verifications consistía en utilizar técnicas anti spam y determinar los correos operativos, para sus clientes. La cuestión es que ellos se quedaban también esa información; que engrosaba una enorme base de datos de tipo Mongo DB con escasa seguridad.

 

En nuestra película "World Wild Web" del minuto 15:30 al 18:40 se relata lo inseguras que son esas bases de datos no SQL.

Los propios autores del descubrimiento, hallaron allí datos suyos que no podían explicar cómo habían llegado.

Y ahora vamos a estudiar el "bichín" que me han mandado y mediante el que he descubierto el nuevo servicio de Any; que no deja de ser un escaparate, una enorme base de datos de malware descargable; alimentada por más de cien mil voluntarios como yo.

La dirección maliciosa (análisis) funciona mediante un enlace acortado y parece dirigir a una "farmacia canadiense".

Tenemos escasa conciencia de la huella digital que dejamos, a veces intencionada; pero sobre todo de forma transparente; cosechada por cada compañía que nos ofrece un servicio gratuito y filtrada para los delincuentes que quieren aprovecharse de nosotros.

Como ejemplo un homenaje a uno de mis antiguos alumnos. Resulta increible la cantidad de información que una herramienta de botón gordo como Webmii puede recabar en segundos.