Oszuści zainfekowani własnym złośliwym oprogramowaniem ujawniają operację wartą 4,67 mln dolarów

CloudSEK odkrył pakistańską rodzinną sieć cyberprzestępczą, która rozpowszechniała oszustów za pośrednictwem pirackiego oprogramowania, przynosząc im 4,67 mln dolarów zysku i miliony ofiar. Tajemnice operacji zostały ujawnione, gdy sami oszuści zostali przejęci.

Firma CloudSEK, zajmująca się wywiadem cyberbezpieczeństwa, odkryła wyrafinowaną, rodzinną operację cyberprzestępczą o wartości wielu milionów dolarów, prowadzoną w Pakistanie. Śledztwo zespołu TRIAD firmy CloudSEK ujawniło syndykat działający od co najmniej pięciu lat.

Według doniesień, główną strategią grupy było wykorzystywanie osób poszukujących darmowego, pirackiego oprogramowania. Używali oni zatruwania SEO i spamu na forach, aby publikować linki w legalnych społecznościach internetowych i wyszukiwarkach, które prowadziły do złośliwych stron internetowych.

Oto przykład z oficjalnego forum społeczności HONOR UK, gdzie post zatytułowany „Adobe After Effects Crack Free Download Full Version 2024” został użyty jako przynęta.

I jeszcze jedno:

Strony te nakłaniały użytkowników do pobrania popularnego, zhakowanego oprogramowania, takiego jak Adobe After Effects, ale w rzeczywistości instalowały niebezpieczne złośliwe oprogramowanie typu infostealer, w tym odmiany takie jak Lumma , AMOS i Meta. Kradło ono również dane osobowe, od haseł i informacji o przeglądarce po dane portfela kryptowalutowego.

Skala operacji jest ogromna. Raport ujawnia, że sieć wygenerowała ponad 449 milionów kliknięć i ponad 1,88 miliona instalacji złośliwego oprogramowania. Ta ogromna liczba ataków przyniosła szacowany dochód w wysokości co najmniej 4,67 miliona dolarów. CloudSEK szacuje, że sieć mogła dotknąć ponad 10 milionów ofiar na całym świecie, a skradzione dane były sprzedawane po około 0,47 dolara za każde uwierzytelnienie.

Śledztwo wyjaśnia również wewnętrzną strukturę grupy, która opierała się na dwóch połączonych sieciach Pay-Per-Install (PPI): InstallBank i SpaxMedia/Installstera. Systemy te zarządzały rozległą siecią 5239 partnerów, którzy otrzymywali wynagrodzenie za każdą udaną instalację złośliwego oprogramowania.

Co więcej, CloudSEK odkrył, że chociaż operatorzy mieli siedziby w pakistańskich Bahawalpur i Faisalabad, ich ofiary znajdowały się na całym świecie. Kluczowym odkryciem było korzystanie przez nich z tradycyjnych usług finansowych, takich jak Payoneer, do dokonywania płatności, co jest rzadkością w przypadku grupy tego typu. Co więcej, operatorzy nosili to samo nazwisko, co sugeruje, że przestępcze przedsięwzięcie było przedsięwzięciem wielopokoleniowym.

Przełomowy moment w śledztwie nastąpił przypadkiem. Operatorzy zostali zainfekowani własnym złośliwym oprogramowaniem, co umożliwiło zespołowi CloudSEK dostęp do ich prywatnych logów .

W dziennikach znajdowały się liczne informacje, w tym zapisy finansowe, komunikacja wewnętrzna i dane uwierzytelniające administratorów, które dostarczyły szczegółowych dowodów niezbędnych do ujawnienia całej sieci.

Przełom w śledztwie nastąpił ironicznie: sami sprawcy zagrożeń zostali zainfekowani złośliwym oprogramowaniem typu infostealer. Wykradzione logi z ich własnych komputerów dostarczyły bezprecedensowego wglądu w ich tożsamość, strukturę dowodzenia, infrastrukturę, komunikację i finanse, co ostatecznie doprowadziło do ich demaskowania.

„Czterech głównych operatorów — M** H, MS, ZI i NI/H/A* wraz z S* H*** — zostało zidentyfikowanych jako kluczowe postacie w tej wielopodmiotowej sieci”.

CloudSEK

Raport pokazuje dalej, jak te grupy wykorzystują codzienne taktyki marketingowe, a nawet legalne usługi finansowe, aby prowadzić nielegalną działalność w sposób jawny. Dlatego świadomość użytkowników jest kluczowa. Unikaj pobierania zhakowanego oprogramowania , ponieważ pozostaje ono łatwym celem dla cyberprzestępców.