Recientemente se ha descubierto un grupo de larga data pero sigiloso que supuestamente ayuda a los ciberatacantes a penetrar en los sistemas de TI ofreciendo servicios de resolución de CAPTCHA. En un nuevo informe, Arkose Cyber ​​Threat Intelligence Research (ACTIR) compartió que había identificado una empresa que permite ciberataques a la que llamó Greasy Opal después de observar que las herramientas del grupo se usaban para atacar a los clientes de Arkose Labs. Greasy Opal, con sede en la República Checa, supuestamente ha operado desde 2009, pero ha permanecido bajo el radar hasta ahora. El grupo vende varios productos y soluciones a múltiples clientes, incluidos actores de amenazas cibernéticas. Estos productos incluyen una gama de soluciones de productividad legítimas y herramientas más controvertidas, como: Software de mejora de SEO Servicios de resolución de CAPTCHA Servicios de automatización del navegador Servicios de automatización de redes sociales Descubriendo la herramienta anti-CAPTCHA de Greasy Opal ACTIR describió la herramienta de elusión de CAPTCHA de Greasy Opal como una herramienta fácil, rápida y flexible para el reconocimiento automático de una amplia gama de CAPTCHA. La herramienta de Greasy Opal cuenta con una eficiencia 10 veces más rápida que las soluciones típicas de resolución de CAPTCHA, como AntiGate (Anti-Captcha), RuCaptcha o DeCaptcher. Los CAPTCHA son programas informáticos destinados a distinguir la entrada humana de la máquina, generalmente como una forma de frustrar el spam y la extracción automática de datos de los sitios web. Los ingresos anuales de Greasy Opal son de $ 1,7 millones La cartera de Greasy Opal es multifacética, lo que le permite desarrollar un modelo de negocio sofisticado al agrupar varios servicios juntos, incluidas soluciones supuestamente legítimas y servicios que son evidentemente ilegales. «Este grupo de actores de amenazas refleja una tendencia creciente de empresas que operan en una zona gris, mientras que sus productos y servicios se han utilizado para actividades ilegales en el futuro», escribieron los investigadores de ACTIR. El grupo ofrece lo que ACTIR llama «un kit de herramientas para atacantes» por $ 70, con una tarifa de suscripción mensual adicional de $ 10. Por $ 100 adicionales, los clientes pueden actualizar para obtener la versión beta. También ofrece un paquete que agrupa todas sus herramientas, con un coste de 190 dólares más los 10 dólares de suscripción. Los investigadores de ACTIR estiman que los ingresos de Greasy Opal en 2023 fueron de al menos 1,7 millones de dólares. Infraestructura de Greasy Opal Los productos y servicios de Greasy Opal se crean utilizando sofisticadas tecnologías de reconocimiento de imágenes y caracteres e inteligencia artificial. Las características clave incluyen: Tecnología avanzada de reconocimiento óptico de caracteres (OCR) utilizada para analizar e interpretar eficazmente los CAPTCHA basados ​​en texto, incluso aquellos distorsionados u oscurecidos por ruido, rotación u oclusión Modelos de aprendizaje automático entrenados en amplios conjuntos de datos de imágenes, lo que permite un aprendizaje y una adaptación continuos, mejorando la capacidad de Greasy Opal para resolver nuevas variaciones de CAPTCHA Etiquetado colaborativo utilizado para entrenar sus modelos de aprendizaje automático El grupo es conocido por sus actualizaciones periódicas, que mejoran sus modelos de aprendizaje automático y permiten una rápida adaptación a nuevos tipos de CAPTCHA, señalaron los investigadores de ACTIR. Los clientes de Greasy Opal Arkose Labs estima que cientos de atacantes individuales están utilizando el software Greasy Opal para crear bots y realizar ataques volumétricos. Por ejemplo, los investigadores de ACTIR observaron que Storm-1152, con sede en Vietnam, utilizó Greasy Opal junto con ataques que crearon 750 millones de cuentas falsas de Microsoft. La Unidad de Delitos Digitales de Microsoft, utilizando la inteligencia de amenazas de la unidad ACTIR, tomó el control de los dominios de Storm-1152 por primera vez en diciembre de 2023. ACTIR descubrió que Storm-1152 se reconstituyó en enero de 2024 y la unidad trabajó con Microsoft para interrumpir a los actores de amenazas nuevamente a principios de agosto de 2024. Otro usuario destacado es el proveedor de software de automatización de navegadores Bablesoft. Su Browser Automation Suite (BAS), que ofrece una herramienta que proporciona bases de datos de huellas dactilares y una interfaz de arrastrar y soltar para crear y lanzar ataques, supuestamente utiliza el kit de herramientas de Greasy Opal. “Cuando Greasy Opal y BAS se utilizan juntos, el nivel de habilidad de los actores maliciosos puede ser bastante bajo para implementar un ataque exitoso”, señaló un investigador de ACTIR en el informe. Conclusión ACTIR reconoció que la tecnología de Greasy Opal es económica y muy eficiente. Sin embargo, los investigadores también notaron que el kit de herramientas tiene una debilidad: la tecnología de bot no escala bien porque está basada en CPU, no en GPU. “En consecuencia, la vulnerabilidad del sistema se ve agravada por su dependencia de una arquitectura de hardware obsoleta, lo que lo hace más susceptible a ser detenido por contramedidas avanzadas diseñadas para explotar esta debilidad”, explicaron los investigadores. Arkose recomendó que las empresas verifiquen si ven su nombre en la lista proporcionada en el apéndice del informe, en cuyo caso es probable que las herramientas de Greasy Opal estén permitiendo ataques a su empresa.