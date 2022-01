VirusTotal è il famoso servizio online di proprietà di Google che consente di effettuare l'analisi via browser di file e URL per trovare eventuali minacce informatiche. È molto utile ed ampiamente usato, ma proprio per questo rappresenta pure una ghiotta occasione per i cracker che purtroppo sono sempre in agguato.

VirusTotal: i cracker possono estrapolare credenziali da crypto wallet e malware

I ricercatori di sicurezza di SafeBreach hanno infatti individuato un nuovo sistema per estrapolare grandi quantità di credenziali utente rubate effettuando ricerche su VirusTotal, senza hackerare la rete di un organizzazione o effettuare acquisti illeciti di dati. Più precisamente, sfruttando VirusTotal, eventuali malintenzionati potrebbero essere in grado di ricavare oltre 1.000.000 credenziali da wallet di criptovaluta non crittografati e da diversi tipi di malware.

La ricerca di SafeBreach si è basata sul metodo Google Hacking che viene usato dai cybercriminali per cercare siti Internet vulnerabili, shell Web, dispositivi Internet of Things e fughe di dati sensibili. I ricercatori hanno rilevato che la maggior parte dei cracker raccolgono credenziali da varie piattaforme, come forum, browser e account di posta, riportandole su un file hard-coded, il quale viene poi esfiltrato al server C2 del malintenzionato dal dispositivo preso di mira.

Il team di ricercatori ha adoperato gli strumenti e le API di VirusTotal come VirusTotal Graph, search e Retrohunt per trovare file contenenti dati rubati. Inoltre, nel condurre il loro esperimento hanno utilizzato malware noti come Azorult, RedLine Stealer, Raccoon Stealer e Hawkeye e si sono rivolti a forum popolari come Snatch_Cloud, DrDark per scoprire dati sensibili.

SafeBreach ha ovviamente già informato Google della scoperta, raccomandandosi in merito al fatto che le informazioni sensibili presenti sul servizio debbano essere immediatamente rimossi. Di fatto, però, “big G” ha ringraziato SafeBreach dell'allert ricevuto, ma non ha ancora provveduto ad eliminare i dati segnalati.