Estafadores comprometidos con su propio malware exponen una operación de $4,67 millones

CloudSEK descubrió una red familiar de ciberdelincuencia con sede en Pakistán que difundía información fraudulenta mediante software pirateado, obteniendo 4,67 millones de dólares y millones de víctimas. Los secretos de la operación se revelaron cuando los propios estafadores se vieron comprometidos.

La firma de inteligencia de ciberseguridad CloudSEK ha descubierto una sofisticada operación familiar multimillonaria de ciberdelincuencia con sede en Pakistán. La investigación del equipo TRIAD de CloudSEK reveló una organización criminal que lleva activa al menos cinco años.

Según se informa, la estrategia principal del grupo era explotar a quienes buscaban software gratuito y pirateado . Utilizaban técnicas de envenenamiento SEO y spam en foros para publicar enlaces en comunidades y motores de búsqueda legítimos que conducían a sitios web maliciosos.

A continuación se muestra un ejemplo del foro oficial de la comunidad HONOR UK; aquí se utilizó una publicación titulada "Adobe After Effects Crack Descarga gratuita Versión completa 2024" como señuelo.

Y otro más:

Estos sitios engañaban a los usuarios para que descargaran software pirateado popular, como Adobe After Effects, pero en realidad instalaban malware peligroso que robaba información, incluyendo variantes como Lumma , AMOS y Meta. Además, robaban datos personales, desde contraseñas e información del navegador hasta detalles de monederos de criptomonedas.

La escala de la operación es enorme. El informe revela que la red generó más de 449 millones de clics y más de 1,88 millones de instalaciones de malware. Este inmenso volumen generó unos ingresos a lo largo de su vida útil estimados en al menos 4,67 millones de dólares. CloudSEK estima que la red podría haber afectado a más de 10 millones de víctimas en todo el mundo, ya que los datos robados se vendieron a unos 0,47 dólares por credencial.

La investigación también explica la estructura interna del grupo, basada en dos redes interconectadas de pago por instalación (PPI): InstallBank y SpaxMedia/Installstera. Estos sistemas gestionaban una vasta red de 5239 afiliados, a quienes se les pagaba por cada instalación exitosa de malware.

Además, CloudSEK descubrió que, si bien los operadores tenían su sede en Bahawalpur y Faisalabad, Pakistán, sus víctimas se encontraban en todo el mundo. Un hallazgo clave fue el uso de servicios financieros tradicionales como Payoneer para realizar pagos, algo poco común en un grupo de esta naturaleza. Además, los operadores compartían el mismo apellido, lo que sugiere que la organización criminal era un esfuerzo multigeneracional.

Un punto de inflexión crucial en la investigación se produjo por casualidad. Irónicamente, los operadores se infectaron con su propio malware, lo que permitió al equipo de CloudSEK acceder a sus registros privados .

Estos registros contenían una gran cantidad de información, incluidos registros financieros, comunicaciones internas y credenciales de administrador, que proporcionaban la evidencia detallada necesaria para exponer toda la red.

El avance en la investigación se produjo irónicamente: los propios actores de la amenaza fueron comprometidos por malware ladrón de información. Los registros extraídos de sus propias máquinas proporcionaron información sin precedentes sobre sus identidades, estructura de mando, infraestructura, comunicaciones y finanzas, lo que finalmente condujo a su desenmascaramiento.

“Cuatro operadores principales —M** H, MS, ZI y NI/H/A* junto con S* H***— se identifican como figuras clave en esta red multiactor”.

CloudSEK

El informe continúa mostrando cómo estos grupos utilizan tácticas de marketing cotidianas e incluso servicios financieros legítimos para llevar a cabo sus actividades ilegales a plena vista. Por lo tanto, la concienciación del usuario es crucial. Evite descargar software pirateado , ya que sigue siendo una vía fácil de explotación para los ciberdelincuentes.