El popular servicio en línea para el análisis de archivos, URLs y direcciones IP sospechosas, que fue creado por un malagueño y ahora propiedad de Google, VirusTotal, ha tenido un incidente de seguridad bastante lamentable. Según han descubierto unos investigadores de SafeBreach, se podrían recopilar credenciales que fueron robadas por malware.

De hecho, con una licencia mensual de VirusTotal de 600€ han conseguido más de un millón de credenciales de usuarios con tan solo realizar una sencilla búsqueda y unas pocas herramientas. Todas ellas provienen de archivos extraídos de máquinas infectadas, billeteras de criptomonedas sin cifrar, etc., y que han terminado alojados en VirusTotal.

I've found this on VT pic.twitter.com/U8v4ix1acx

— Florian Roth ⚡️ (@cyb3rops) January 17, 2022

El investigador de SafeBreach se basó en un simple método (dorking) para ello. Y es que la API y herramientas de VirusTotal (VT Graph, Retrohunt,…) se pueden usar para encontrar archivos que contengan datos robados (correos electrónicos, nombres de usuario, credenciales de acceso a redes sociales, sitios de comercio electrónico, servicios de pago en línea, plataformas de streaming, servicios gubernamentales en línea, cuentas bancarias, y claves de billeteras privadas de criptomonedas).

Según Bar, de SafeBreach, «Nuestro objetivo era identificar los datos que un delincuente podría recopilar con una licencia de VirusTotal«, un método al que han bautizado como VirusTotal Hacking.

“Un delincuente que usa este método puede recopilar una cantidad casi ilimitada de credenciales y otros datos confidenciales del usuario con muy poco esfuerzo en un corto período de tiempo utilizando un enfoque libre de infecciones. Lo llamamos el ciberdelito perfecto, no solo por el hecho de que no hay riesgo y el esfuerzo es muy bajo, sino también por la incapacidad de las víctimas para protegerse de este tipo de actividades. Después de que el pirata informático original piratea a las víctimas, la mayoría tiene poca visibilidad de qué información confidencial se carga y almacena en VirusTotal y otros foros”.

Los investigadores instaron a Google, a través de su subsidiaria Chronicle Security, buscar y eliminar estos archivos de datos de usuario y prohibir las claves API que los cargan, así como agregar un algoritmo que impidiese la carga de estos archivos para realizar limpiezas periódicas y que no ocurra esto. Pero, por el momento, Google no ha movido ni un solo dedo para evitarlo…