Golpistas comprometidos com seu próprio malware expõem operação de US$ 4,67 milhões

A CloudSEK descobriu uma rede de crimes cibernéticos familiar sediada no Paquistão que disseminava informações falsas por meio de software pirata, gerando US$ 4,67 milhões e milhões de vítimas. Os segredos da operação foram revelados quando os próprios golpistas foram comprometidos.

A empresa de inteligência em segurança cibernética CloudSEK descobriu uma sofisticada operação familiar de crimes cibernéticos multimilionária sediada no Paquistão. A investigação da equipe TRIAD da CloudSEK revelou uma organização criminosa que atua há pelo menos cinco anos.

A principal estratégia do grupo, segundo informações, era explorar pessoas que buscavam software pirata gratuito. Eles usavam envenenamento de SEO e spam em fóruns para postar links em comunidades online e mecanismos de busca legítimos que levavam a sites maliciosos.

Aqui está um exemplo do fórum oficial da comunidade HONOR UK, onde uma postagem intitulada “Adobe After Effects Crack Free Download Full Version 2024” foi usada como isca.

E mais uma:

Esses sites enganavam os usuários, fazendo-os baixar softwares crackeados populares, como o Adobe After Effects, mas, na realidade, estavam instalando malwares perigosos para roubo de informações, incluindo variantes como Lumma , AMOS e Meta. Eles também roubavam dados pessoais, desde senhas e informações do navegador até detalhes de carteiras de criptomoedas.

A escala da operação é enorme. O relatório revela que a rede gerou mais de 449 milhões de cliques e mais de 1,88 milhão de instalações de malware. Esse imenso volume gerou uma receita vitalícia estimada em pelo menos US$ 4,67 milhões. A CloudSEK estima que a rede pode ter impactado mais de 10 milhões de vítimas em todo o mundo, com dados roubados sendo vendidos por cerca de US$ 0,47 por credencial.

A investigação também explica a estrutura interna do grupo, baseada em duas redes interconectadas de pagamento por instalação (PPI): InstallBank e SpaxMedia/Installstera. Esses sistemas gerenciavam uma vasta rede de 5.239 afiliados, que recebiam pagamentos por cada instalação bem-sucedida de malware.

Além disso, a CloudSEK descobriu que, embora os operadores estivessem sediados em Bahawalpur e Faisalabad, no Paquistão, suas vítimas estavam espalhadas pelo mundo todo. Uma descoberta importante foi o uso de serviços financeiros tradicionais como o Payoneer para pagamentos, o que é raro para um grupo dessa natureza. Além disso, os operadores compartilhavam o mesmo sobrenome, sugerindo que a atividade criminosa era um esforço multigeracional.

Um ponto de virada crucial na investigação aconteceu por acaso. Os operadores foram ironicamente infectados por seu próprio malware, o que permitiu que a equipe da CloudSEK acessasse seus registros privados .

Esses registros continham um grande volume de informações, incluindo registros financeiros, comunicações internas e credenciais de administrador, que forneciam as evidências detalhadas necessárias para expor toda a rede.

O avanço na investigação veio ironicamente: os próprios autores da ameaça foram comprometidos por malware infostealer. Os logs extraídos de suas próprias máquinas forneceram informações sem precedentes sobre suas identidades, estrutura de comando, infraestrutura, comunicações e finanças, levando, em última análise, à sua desmascaramento.

“Quatro operadores principais — M** H, MS, ZI e NI/H/A*, juntamente com S* H*** — são identificados como figuras-chave nesta rede multiator.”

NuvemSEK

O relatório continua mostrando como esses grupos estão usando táticas cotidianas de marketing e até mesmo serviços financeiros legítimos para realizar suas atividades ilegais à vista de todos. Portanto, a conscientização do usuário é crucial. Evite baixar softwares crackeados , pois eles continuam sendo uma via facilmente explorável para cibercriminosos.