Los hackers utilizan VirusTotal de Google como herramienta de desarrollo

VirusTotal

Aunque resulte irónico, el servicio de Google VirusTotal, pensado para facilitar el análisis de archivos en busca de malware, está siendo utilizado por hackers como herramienta de desarrollo.

A pesar de que Google ofrece VirusTotal con toda su buena intención, como servicio online gratuito que permite que los usuarios puedan escanear ficheros con más de 3 docenas de antivirus online, este sistema de origen español podría estar siendo usado ahora por los propios hackers para desarrollar mejor malware.

En 2004, la empresa española Hispasec Sistemas lanzó el servicio VirusTotal y en 2012 Google lo compró. Con él, basta subir un archivo sospechoso para que sea escaneado por multitud de antivirus, convirtiéndose en una opción mucho más segura que usar únicamente un antivirus de forma local.

El problema es que el servicio es en sí tan eficiente para comprobar un archivo en multitud de antivirus simultáneamente, que los propios hackers lo están utilizando para desarrollar malware, modificando y mejorando el código hasta que es capaz de pasar sin problemas sus pruebas.

Brandon Dixon ha encontrado a varios grupos importantes de hackers utilizando VirusTotal gracias al rastro que han dejado, con datos que incluyen el nombre del fichero, la hora de subida, la IP y el país de origen. Estos dos últimos datos están cifrados, pero permiten descubrir subidas múltiples desde una misma dirección.

Gracias a esta información ha desarrollado un algoritmo que no sólo permite descubrir estos grupos, sino que también puede predecir sus ataques. Entre los numerosos grupos de hackers descubiertos, destacan importantes organizaciones de China e Irán.

Brandon ha publicado su código para que otros puedan usar los datos de VirusTotal para descubrir otros grupos, pero la publicación de estos detalles podría hacer que los hackers comenzaran a cambiar sus hábitos para que sean más difícil descubrirles.