Una red cibercriminal sofisticada que opera desde Pakistán ha construido más de 300 sitios web de crujidos desde 2021, sirviendo como plataformas de distribución para malware que roba información que se dirige a los usuarios que buscan software pirateado.
Esta extensa operación representa uno de los casos documentados más grandes de distribución de malware coordinada a través de portales de agrietamiento de software aparentemente legítimos, afectando a los usuarios corporativos e individuales a nivel mundial que son víctimas de robo de credenciales.
La infraestructura maliciosa aprovecha el atractivo universal del software gratuito para entregar malware de Stealer, explotando el deseo de los usuarios de acceder a aplicaciones premium sin pago.
Las víctimas generalmente encuentran estos sitios web cuando buscan versiones descifradas de software popular, descargando inadvertidamente ejecutables maliciosos disfrazados de herramientas de activación legítimas o instaladores de software.
Una vez ejecutado, estas credenciales del navegador de cosecha de carga útil, billeteras de criptomonedas y datos de autenticación confidenciales antes de transmitir la información robada a servidores de comando y control.
El enfoque sofisticado de la campaña se extiende más allá del simple alojamiento de malware, incorporando técnicas de optimización de motores de búsqueda y anuncios de Google para maximizar la visibilidad y la participación de las víctimas.
Esta estrategia multifacética garantiza un flujo de tráfico constante a los dominios maliciosos, creando un flujo constante de posibles víctimas que creen que están accediendo a los recursos genuinos de descripción de software.
Analistas de Intrinsec identificado La operación a través del análisis forense de los incidentes de compromiso del cliente, el rastreo de fuentes de infección a dominios como KMSPICO.IO e infraestructura relacionada.
La investigación reveló una red coordinada de freelancers paquistaníes especializados en desarrollo web y publicidad digital, muchos de los cuales inicialmente pueden no haber sido conscientes de las intenciones maliciosas de sus clientes.
Estos desarrolladores utilizaron un modelo de negocio de pago por instalación que recuerda a la notoria operación Cryptbot, ganando comisiones basadas en instalaciones exitosas de malware en diferentes regiones geográficas y sistemas operativos.
DNS Infraestructura y mecanismos de distribución
La base técnica de esta operación se centra en una infraestructura DNS centralizada utilizando ns1.filescrack.com como el principal servidor de nombres para la mayoría de los dominios maliciosos.
Este servidor de nombres se ha asociado con más de 300 sitios web de cracking a partir de septiembre de 2024, con patrones de registro de dominio que indican una expansión sistemática desde junio de 2021.
La configuración del servidor de nombres permite a los operadores mantener el control centralizado mientras distribuyen riesgos en numerosos nombres de dominio.
La infraestructura de alojamiento utiliza principalmente 24xservice, un proveedor paquistaní que opera el sistema autónomo como 57717 de Lahore.
El análisis del rango de IP 185.216.143.0/24 revela un uso casi exclusivo para los sitios web de agrietamiento, lo que sugiere una infraestructura dedicada o servicios de alojamiento comprometidos.
Sitio web de craqueo asociados con la dirección de correo electrónico nominativa (fuente – Intrinsec)
Los registros de registro de dominio contienen direcciones de correo electrónico que vinculan a las identidades reales de los trabajadores independientes paquistaníes, lo que indica fallas de seguridad operativas que habilitaron la atribución a personas específicas dentro de la red.
El mecanismo de distribución de malware funciona a través de Installpp, un servicio de pago por instalación que monetiza infecciones exitosas basadas en la geografía de las víctimas y el sistema operativo.
Esta integración de servicios demuestra la naturaleza profesionalizada de la operación, con incentivos financieros claros que impulsan la expansión continua y el refinamiento de las técnicas de distribución.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
