Grupo de hackers chinos pirateó sitios de juegos de azar en línea en el sudeste asiático

Un infame grupo de piratas informáticos de China está atacando activamente sitios de juegos de azar y otros sitios de juegos de azar en línea en el sudeste asiático. El grupo, DRBControl ya se ha dicho que estaba atacando en nombre de China, pero ahora está hackeando en su propio interés. Resultó que roba los códigos fuente y las bases de datos de las víctimas en lugar de dinero.

Trend Micro y Salto de talento evaluó este grupo y expuso su funcionamiento. Se dice que DRBControl está usando las mismas tácticas que Winnti y Emissary Panda, grupos apoyados por el estado chino. Pero ahora, como FireEye informa, el grupo puede no estar asociado con China y puede estar atacando si es en su propio interés.

Grupo de hackers chinos pirateó sitios de juegos de azar en línea en el sudeste asiático
Grupo de hackers chinos pirateó sitios de juegos de azar en línea en el sudeste asiático (imagen en ft.com)

Desde el verano de 2019, DRBControl ha estado violando activamente las redes de varios sitios de juegos de azar y apuestas en línea y ha robado sus bases de datos confidenciales y códigos fuente. Esto puede parecer típico, pero obtener estos secretos profundos puede ayudarlo a analizar cómo funciona su sistema y trucar métodos de juego para eventualmente ganar dinero más adelante. Si bien los informes actuales dicen que solo los sitios ubicados en el sudeste asiático se han visto afectados, los rumores no confirmados dicen que el grupo también ha pirateado sitios europeos y del Medio Oriente.

Flujo de operación

El grupo sigue un método muy común en el espacio del ciberdelito: Spear Phishing para atacar a sus objetivos. Primero envía un correo electrónico elaborado a cualquiera de los empleados de la empresa para atraer y permitirles hacer clic en enlaces o archivos adjuntos maliciosos. ¡Y eso reduce una carga útil que depende de Dropbox para sus operaciones! No se esperaba el uso de esto, ¿verdad?

El troyano de malware crea una puerta trasera en Dropbox, donde utiliza sus servicios de alojamiento y uso compartido de archivos, comunicándose con el servidor C2C, descargando otra carga útil e incluso almacenando los datos robados. El uso crítico de esto es la razón por la que este grupo se llama DRBControl (DRopBox Control).

Entre julio y septiembre de 2019, DRBControl infectó cientos de computadoras. Se dice que más de 200 computadoras fueron pirateadas con una cuenta de Dropbox y otras 80 computadoras con otra cuenta. El grupo es capaz de robar información del portapapeles, crear túneles de tráfico de red, escanear servidores NETBIOS, descartar contraseñas e incluso llevar a cabo un ataque de fuerza bruta.