Katyusha Scanner – Herramienta de SQL injectión completamente automatizada basada en Telegram


Una nueva y potente herramienta de hacking introducida recientemente en un foro subterráneo está haciendo rondas en estos días, permitiendo que cualquiera realice rápidamente explotaciones de sitios web con fallas de inyección SQL en una escala masiva – todas controladas desde un teléfono inteligente usando la aplicación de mensajería Telegram.

El escáner Katyusha, de vulnerabilidades SQLi, completamente automatizado, fue presentado por primera vez en abril de este año cuando un individuo de habla rusa lo publicó en un popular foro de hacking.

Los investigadores de la división de inteligencia de amenazas Insikt Group de Recorded Future encontraron esta herramienta a la venta en un foro de hacking subterráneo por sólo $ 500. Los usuarios pueden incluso alquilar la herramienta Katyusha Scanner por $ 200.

Según los investigadores, Katyusha Scanner es una herramienta basada en web que es una combinación de Arachni Scanner y una herramienta básica de SQL Injection que permite a los usuarios identificar automáticamente los sitios vulnerables de SQLi y luego explotarlos para hacerse cargo de sus bases de datos.

Arachni es una herramienta de exploración de vulnerabilidades de código abierto que ayuda a los usuarios a evaluar la seguridad de sus aplicaciones web.
Lo que hace que esta herramienta se destaque es su modelo de “Infraestructura como servicio”.

Herramienta de hacking a través de Telegram

Katyusha Scanner está abusando de la aplicación de mensajería Telegram para controlar sus operaciones, como enviar y recibir comandos.

La herramienta Katyusha Scanner es muy fácil de configurar y usar, permitiendo a cualquier persona llevar a cabo ataques de penetración a gran escala contra un gran número de sitios web objetivo simultáneamente con el mero uso de sus teléfonos inteligentes.

La versión Pro de la herramienta no sólo identifica los sitios web vulnerables, sino que también permite a los piratas informáticos establecer un “punto de apoyo fuerte dentro de los servidores web vulnerables” y extraer automáticamente “información privilegiada como credenciales de inicio de sesión”.

Una vez completada la exploración, Katyusha Scanner envía un mensaje de texto a los delincuentes con el nombre del sitio vulnerable, sus calificaciones de la web de Alexa, ayudando a los criminales a identificar sitios web populares que probablemente serían más rentables para ellos atacar y el número de bases de datos.

Los delincuentes, incluso sin conocimientos técnicos, pueden descargar cualquier información filtrada disponible haciendo clic en sus teléfonos inteligentes para emitir comandos.

Katyusha Scanner también permite el dumping automático de bases de datos y puede ser utilizado tanto en Linux como en máquinas Windows.

“La disponibilidad de una herramienta muy robusta y barata … Katyusha Scanner para criminales en línea con habilidades técnicas limitadas sólo intensificará el problema de datos comprometidos experimentado por varias empresas, destacando la importancia de las auditorías regulares de seguridad de infraestructura”, escribieron los investigadores de Recorded Future.

Muchos compradores alabaron la calidad de la herramienta en el sitio de mercado negro, uno de los clientes satisfechos que obtuvo éxito inmediato en la obtención de acceso a ocho servidores web escribió:

“Excelente soporte! El vendedor ha configurado el software para mi servidor, que estaba fallando antes, sin embargo, ahora vuela divinamente! Recomiendo altamente el software, y ha encontrado ocho vulnerabilidades de SQL en medio día, una gran automatización de la rutina Muy agradecido al vendedor. ”

Otro escribió: “El autor ha ayudado con la configuración del producto después de la compra, y (Katyusha) ha encontrado de inmediato la vulnerabilidad de SQL. Gracias por el gran producto”.

Inicialmente, Katyusha Scanner se vendió por $ 500, pero debido a una demanda inesperadamente alta, una versión ligera de la herramienta con funcionalidad ligeramente limitada se lanzó el 10 de mayo de 2017, a sólo $ 250.

Con el lanzamiento de la actualización Katyusha 0.8 Pro más reciente a finales de junio, el autor también hizo que el escáner estuviera disponible para alquiler a $ 200 por mes por primera vez.

Vía |thehackernews

log in

reset password

Back to
log in