Camus Hacker, ¿como lo logran?


Hace unos días un supuesto hacker (conocido como camus hacker), habría robado y tomado vía webcam, fotos comprometedoras de distintas personalidades del espectáculo local entre ellas Diego Korol, Verónica Lozano, Fátima Florez, Coki Ramírez, Érika Mitdank, "Maravilla" Martínez, Ricardo Fort, Guido Süller, Panam, Analissa Santi, Noelia Marzol, entre otras para luego subirlas en su cuenta de Twitter.

También aseguró en una entrevista telefónica tener el vídeo de la Sueca Larsson, la foto de Tinelli con una botella y hasta fotos de fiestas en donde se lo vería a Messi con 3 mujeres.

Obviamente luego se probó que el no había realizado ningún tipo de Hacking para obtener ese material pero muchos se preguntaban como habrían hecho los hackers verdaderos para obtenerlo.

Aquí dejamos un ejemplo más que claro que muestra una de las tantas formas que podrían haber utilizado para vulnerar a los famosos.

Ejemplo:
Se envía un correo falso a la víctima con el asunto "En febrero nuestra aerolínea te obsequia dos tickets ida y vuelta a cualquier destino" simulando provenir de una conocida aerolínea internacional, en el enlace (link) se apunta a un troyano conocido como Cybergate RAT (Remote Administration Tool - Herramienta de Administración Remota).



Al hacer click en el enlace se produce la descarga de este malware (programa malicioso) el cual NO es fácilmente detectado por los antivirus VirusTotal (14/50).

El malware contiene un keylogger (programa que registra todo lo que escribes en tu teclado), además graba el audio del equipo infectado y sobre todo utiliza la webcam de la víctima.

008B797C MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B7994 MOV EDX,dump3.008BFFD4 ASCII "webcamdllloaded|"
008B79AC MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B79C4 MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B79FD MOV EDX,dump3.008BFFF0 ASCII "webcamsettings"
008B7B01 MOV EDX,dump3.008C0008 ASCII "checkwebcamfile"


En el análisis dinámico podemos hacer una adquisición de la memoria RAM del sistema con Dumpit! para luego buscar strings que nos pueden revelar algo mas.



Por ejemplo aquí podemos ver los datos capturados por el Keylogger antes de ser ofuscados y guardados en el archivo de logging del troyano. También se observa el uso de NO-IP utilizado para contactar al C&C del troyano.

Así como se demostró en este ejemplo con un simple mail falso que contiene un enlace malicioso el atacante tendría completo acceso a la intimidad del famoso, pudiendo obtener todo tipo de información.

Nuestra recomendación es siempre ser precavido, verificar las URL antes de hacer click, ante la duda llamar a la "supuesta" empresa que nos envía el correo y consultar si el correo realmente proviene de ellos, además de siempre tener el sistema operativo actualizado y una suite antivirus actualizada.