Un grupo de expertos en ciberseguridad han descubierto la identidad real del autor de la amenaza detrás del malware como servicio Golden Chickens, que se hace llamar "badbullzvenom".

La Unidad de Respuesta a Amenazas (TRU por sus siglas en inglés) de eSentire, (la empresa de Servicio de seguridad informática en Waterloo, Canadá) en un exhaustivo informe publicado tras una investigación de 16 meses de duración, afirma que "encontró múltiples menciones de la cuenta badbullzvenom compartida entre dos personas".

Se dice que el segundo actor de la amenaza, conocido como Frapstar, se identifica como "Chuck de Montreal", lo que permite a la empresa de ciberseguridad reconstruir la huella digital del actor criminal.

Esto incluye su nombre real, fotos, dirección, los nombres de sus padres, hermanos y amigos, junto con sus cuentas de redes sociales y sus intereses. También se dice que es el único propietario de una pequeña empresa que dirige desde su propia casa.

Golden Chickens, también conocido como Venom Spider, es un proveedor de malware como servicio (MaaS) que está vinculado a una variedad de herramientas como Taurus Builder, un software para crear documentos maliciosos y More_eggs, un descargador de JavaScript que se utiliza para servir cargas útiles adicionales.

El arsenal cibernético del actor de la amenaza ha sido utilizado por otros grupos cibercriminales prominentes como Cobalt Group (también conocido como Cobalt Gang), Evilnum y FIN6, todos los cuales se estima que han causado colectivamente pérdidas por un total de $1.500 millones USD.

Las campañas anteriores de More_eggs, algunas de las cuales se remontan a 2017, han implicado spear-phishing a profesionales de negocios en LinkedIn con ofertas de trabajo falsas que dan a los actores de amenazas control remoto sobre la máquina de la víctima, aprovechándola para recopilar información o desplegar más malware.

El año pasado, en una especie de reversión, se emplearon las mismas tácticas para atacar a los responsables de contratación de empresas con currículos cargados de malware como vector de infección.

El primer registro documentado de la actividad de Frapster se remonta a mayo de 2015, cuando Trend Micro describió al individuo como un "criminal solitario" y un entusiasta de los autos de lujo.

"'Chuck', que utiliza múltiples alias para sus cuentas de foros clandestinos, redes sociales y Jabber y el actor de la amenaza que dice ser de Moldavia, han hecho todo lo posible para disfrazarse", dijeron los investigadores de eSentire Joe Stewart y Keegan Keplinger.

"También se han esmerado en ofuscar el malware Golden Chickens, tratando de hacerlo indetectable para la mayoría de las compañías AV y limitando a los clientes el uso de Golden Chickens para ataques SOLO dirigidos".

Se sospecha que Chuck es uno de los dos actores de amenazas que operan la cuenta badbullzvenom en el foro clandestino Exploit.in, con la otra parte posiblemente ubicada en Moldavia o Rumania, señaló eSentire.

La empresa canadiense de ciberseguridad ha descubierto además una nueva campaña de ataque dirigida a empresas de comercio electrónico, en la que se engaña a los reclutadores para que descarguen un archivo de acceso directo de Windows fraudulento desde un sitio web que se hace pasar por un currículum vitae.

El acceso directo, un malware apodado VenomLNK, sirve como vector de acceso inicial para soltar More_eggs o TerraLoader, que posteriormente actúa como conducto para desplegar diferentes módulos, a saber, TerraRecon (para la creación de perfiles de víctimas), TerraStealer (para el robo de información) y TerraCrypt (para la extorsión de ransomware).

"La suite de malware sigue desarrollándose activamente y se está vendiendo a otras amenazas", concluyen los investigadores, que instan a las organizaciones a estar atentas a posibles intentos de phishing.