Des escrocs compromis par leur propre logiciel malveillant exposent une opération de 4,67 millions de dollars

CloudSEK a démantelé un réseau de cybercriminalité familial basé au Pakistan, qui diffusait des infostealers via des logiciels piratés, générant 4,67 millions de dollars et faisant des millions de victimes. Les secrets de l'opération ont été révélés lorsque les escrocs eux-mêmes ont été compromis.

CloudSEK, société de renseignement en cybersécurité, a démantelé une cybercriminalité familiale sophistiquée, pesant plusieurs millions de dollars et basée au Pakistan. L'enquête menée par l'équipe TRIAD de CloudSEK a révélé l'existence d'un réseau criminel actif depuis au moins cinq ans.

Selon certaines informations, la stratégie principale du groupe consistait à exploiter les personnes à la recherche de logiciels piratés gratuits. Ils utilisaient l'empoisonnement SEO et le spam sur les forums pour publier des liens sur des communautés en ligne et des moteurs de recherche légitimes, menant à des sites web malveillants.

Voici un exemple du forum officiel de la communauté HONOR UK ici, un article intitulé « Adobe After Effects Crack Free Download Full Version 2024 » a été utilisé comme leurre.

Et, un autre :

Ces sites incitaient les utilisateurs à télécharger des logiciels piratés populaires comme Adobe After Effects, mais en réalité, ils installaient de dangereux logiciels malveillants de vol d'informations, notamment des souches comme Lumma , AMOS et Meta. Ils volaient également des données personnelles, des mots de passe et des informations de navigation aux informations de portefeuille de cryptomonnaies.

L'ampleur de l'opération est considérable. Le rapport révèle que le réseau a généré plus de 449 millions de clics et plus de 1,88 million d'installations de logiciels malveillants. Cet immense volume a généré un chiffre d'affaires estimé à au moins 4,67 millions de dollars. CloudSEK estime que le réseau aurait touché plus de 10 millions de victimes dans le monde, les données volées étant vendues environ 0,47 dollar par identifiant.

L'enquête explique également la structure interne du groupe, qui reposait sur deux réseaux interconnectés de paiement à l'installation (PPI) : InstallBank et SpaxMedia/Installstera. Ces systèmes géraient un vaste réseau de 5 239 affiliés, rémunérés pour chaque installation réussie de malware.

CloudSEK a également constaté que, si les opérateurs étaient basés à Bahawalpur et Faisalabad, au Pakistan, leurs victimes étaient réparties dans le monde entier. L'une des principales conclusions de l'enquête a été l'utilisation par les opérateurs de services financiers traditionnels comme Payoneer pour leurs paiements, une pratique rare pour un groupe de cette nature. De plus, les opérateurs partageaient le même nom de famille, ce qui suggère que l'entreprise criminelle était une entreprise multigénérationnelle.

Un tournant crucial dans l'enquête s'est produit par hasard. Ironiquement, les opérateurs ont été infectés par leur propre logiciel malveillant, ce qui a permis à l'équipe de CloudSEK d'accéder à leurs journaux privés .

Ces journaux contenaient une mine d’informations, notamment des dossiers financiers, des communications internes et des informations d’identification d’administrateur, qui fournissaient les preuves détaillées nécessaires pour exposer l’ensemble du réseau.

L'enquête a connu une percée inattendue : les auteurs de la menace ont eux-mêmes été compromis par un logiciel malveillant de vol d'informations. Les journaux exfiltrés de leurs propres machines ont fourni des informations inédites sur leur identité, leur structure de commandement, leur infrastructure, leurs communications et leurs finances, ce qui a finalement permis de les démasquer.

« Quatre opérateurs principaux – M** H, MS, ZI et NI/H/A* ainsi que S* H*** – sont identifiés comme des figures clés de ce réseau multi-acteurs. »

CloudSEK

Le rapport montre ensuite comment ces groupes utilisent des tactiques marketing courantes, voire des services financiers légitimes, pour mener leurs activités illégales au vu et au su de tous. La sensibilisation des utilisateurs est donc cruciale. Évitez de télécharger des logiciels piratés , car ils constituent une voie facilement exploitable par les cybercriminels.