Betrüger, die durch eigene Malware kompromittiert wurden, decken eine Operation im Wert von 4,67 Millionen US-Dollar auf
CloudSEK deckte ein in Pakistan ansässiges Cybercrime-Netzwerk für Familien auf, das über Raubkopien Informationen stiehlt und Millionen von Opfern beschert. Die Geheimnisse der Operation wurden enthüllt, als die Betrüger selbst kompromittiert wurden.
Das Cybersicherheitsunternehmen CloudSEK hat eine ausgeklügelte, familiengeführte, millionenschwere Cybercrime-Operation mit Sitz in Pakistan aufgedeckt. Die Ermittlungen des TRIAD-Teams von CloudSEK enthüllten ein Syndikat, das seit mindestens fünf Jahren aktiv ist.
Berichten zufolge bestand die Hauptstrategie der Gruppe darin, Menschen auszunutzen, die nach kostenloser Raubkopien von Software suchten. Sie nutzten SEO-Poisoning und Foren-Spam, um in legitimen Online-Communitys und Suchmaschinen Links zu posten, die auf bösartige Websites führten.
Hier ist ein Beispiel aus dem offiziellen Community-Forum von HONOR UK: Ein Beitrag mit dem Titel „Adobe After Effects Crack Free Download Full Version 2024“ wurde als Köder verwendet.
Und noch einer:
Diese Websites verleiteten Benutzer dazu, gecrackte Software wie Adobe After Effects herunterzuladen. In Wirklichkeit installierten sie jedoch gefährliche Infostealer-Malware, darunter Varianten wie Lumma , AMOS und Meta. Außerdem stahlen sie persönliche Daten, von Passwörtern und Browserinformationen bis hin zu Kryptowährungs-Wallet-Daten.
Das Ausmaß der Operation ist enorm. Der Bericht zeigt, dass das Netzwerk über 449 Millionen Klicks und mehr als 1,88 Millionen Malware-Installationen generierte. Dieses immense Volumen brachte einen geschätzten Gesamtumsatz von mindestens 4,67 Millionen US-Dollar ein. CloudSEK schätzt, dass das Netzwerk weltweit über 10 Millionen Opfer betroffen haben könnte, da gestohlene Daten für etwa 0,47 US-Dollar pro Zugangsdaten verkauft wurden.
Die Untersuchung erklärt auch die interne Struktur der Gruppe, die auf zwei miteinander verbundenen Pay-Per-Install (PPI)-Netzwerken basierte: InstallBank und SpaxMedia/Installstera. Diese Systeme verwalteten ein riesiges Netzwerk von 5.239 Partnern, die für jede erfolgreiche Malware-Installation bezahlt wurden.
CloudSEK stellte außerdem fest, dass die Betreiber zwar in den pakistanischen Städten Bahawalpur und Faisalabad ansässig waren, ihre Opfer jedoch weltweit verteilt waren. Ein wichtiges Ergebnis war die Nutzung traditioneller Finanzdienstleistungen wie Payoneer für Zahlungen, was für eine Gruppe dieser Art ungewöhnlich ist. Zudem trugen die Betreiber denselben Nachnamen, was darauf hindeutet, dass das kriminelle Unternehmen über mehrere Generationen hinweg existierte.
Ein entscheidender Wendepunkt in der Untersuchung ereignete sich zufällig. Ironischerweise wurden die Betreiber mit ihrer eigenen Malware infiziert, wodurch das Team von CloudSEK auf ihre privaten Protokolle zugreifen konnte.
Diese Protokolle enthielten eine Fülle von Informationen, darunter Finanzunterlagen, interne Kommunikationsdaten und Administratoranmeldeinformationen, die die detaillierten Beweise lieferten, die erforderlich waren, um das gesamte Netzwerk offenzulegen.
Der Durchbruch in der Untersuchung kam ironischerweise: Die Bedrohungsakteure selbst wurden durch Infostealer-Malware kompromittiert. Die von ihren eigenen Maschinen exfiltrierten Protokolle lieferten beispiellose Einblicke in ihre Identität, Befehlsstruktur, Infrastruktur, Kommunikation und Finanzen und führten schließlich zu ihrer Enttarnung.
„Vier Hauptakteure – M** H, MS, ZI und NI/H/A* sowie S* H*** – werden als Schlüsselfiguren in diesem Multiakteur-Netzwerk identifiziert.“
CloudSEK
Der Bericht zeigt weiterhin, wie diese Gruppen alltägliche Marketingtaktiken und sogar legitime Finanzdienstleistungen nutzen, um ihre illegalen Aktivitäten offen zu verfolgen. Daher ist die Sensibilisierung der Nutzer von entscheidender Bedeutung. Vermeiden Sie den Download gecrackter Software , da diese für Cyberkriminelle weiterhin ein leicht auszunutzendes Angriffsziel darstellt.
HackRead
