Хиляди педофили, които изтеглят и споделят материали със сексуално насилие над деца (CSAM), бяха идентифицирани чрез логове на зловреден софтуер, крадящ информация, които изтекоха в тъмната мрежа, което подчертава ново измерение на използването на откраднати идентификационни данни в разследванията на правоприлагащите органи.

Новото използване на набора от данни е извършено от Insikt Group на Recorded Future, които споделиха доклад, в който обясняват как са идентифицирали 3324 уникални акаунта, които са имали достъп до незаконни портали, известни с разпространението на CSAM.

Използвайки други данни, откраднати от целта, анализаторите на Insikt са могли да проследят тези акаунти до потребителски имена на различни платформи, да извлекат техните IP адреси и дори системна информация.

Тази информация, събрана от Insikt Group, е била споделена с правоприлагащите органи, за да се разкрие самоличността на тези лица и да се пристъпи към арести.

Използване на логовете на крадците за добри цели

Stealer log е колекция от данни, откраднати от определено лице чрез зловреден софтуер за кражба на информация, като Redline, Raccoon и Vidar, от заразени системи.

Когато тези видове зловреден софтуер се изпълняват на дадено устройство, те събират идентификационни данни, история на браузъра, бисквитки на браузъра, данни за автоматично попълване, информация от портфейла за криптовалута, снимки на екрана и системна информация.

След това информацията се пакетира в архив, наречен „лог“, който се предава обратно към сървърите на заплахата.

След това извършителите могат да използват тези откраднати идентификационни данни, за да проникнат в други акаунти, да извършват корпоративни атаки или да ги продадат на други киберпрестъпници в тъмната мрежа, Telegram и други платформи. Поради техния размер и брой тези записи рядко се разглеждат внимателно и се категоризират, а по-скоро се продават в насипно състояние.

Предишни анализи показаха, че логовете на крадците на информация могат да съдържат важни данни за бизнес акаунти или идентификационни данни за акаунти, които могат да разкрият патентована информация.

Тъй като този тип зловреден софтуер обикновено се разпространява чрез пиратски софтуер, злонамерена реклама и фалшиви актуализации, той може да изсмуква данни от заразени системи за продължителни периоди от време, без жертвата да разбере това.

Това включва потребители на CSAM, които без свое знание разкриват всички идентификационни данни за своето онлайн банкиране, електронна поща и други законни акаунти, както и идентификационните данни за акаунти, използвани за достъп до сайтове на CSAM, които изискват регистрация.

Идентифициране на потребителите на CSAM

Анализаторите на Insikt използваха дневниците на infostealer, заснети между февруари 2021 г. и февруари 2024 г., за да идентифицират CSAM потребителите чрез съпоставяне на откраднатите идентификационни данни с двадесет известни CSAM домейна.

След това те отстраниха дублиращите се данни, за да стеснят резултатите до 3324 уникални двойки потребителско име и парола.

Тъй като зловредният софтуер за кражба на информация краде всички данни, записани в браузъра, изследователите са успели да свържат притежателите на CSAM акаунти с техните законни онлайн акаунти, като електронна поща, банкиране, онлайн пазаруване, мобилни оператори и социални медии.

След това те са използвали разузнавателни данни от отворен източник (OSINT) и цифрови артефакти, за да съберат още разкриваща информация за тези потребители. Тези улики включват:

• адреси на портфейли с криптовалути и история на транзакциите.
• Уеб акаунти и история на сърфиране, които не са свързани с CSAM.
• Физически адреси, пълни имена, телефонни номера и имейл адреси, извлечени от данните за автоматично попълване на браузъра.
• Асоциации с различни онлайн услуги, като акаунти в социални медии, правителствени уебсайтове и портали за кандидатстване за работа.

В доклада на Recorded Future се посочват три случая на идентифицирани лица, обобщени, както следва:

• „d****“ – жител на Кливланд, Охайо, който преди това е осъден за експлоатация на деца и е регистриран като сексуален престъпник. Поддържа акаунти в поне четири сайта на CSAM.
• „docto“ – жител на Илинойс, който работи като доброволец в детски болници и е регистриран за кражби на дребно. Поддържа акаунти в девет уебсайта на CSAM.
  „Bertty“ – Вероятно студент от Венецуела, който поддържа акаунти в поне пет сайта на CSAM. Историята на
• трансакциите с криптовалута уличава потребителя в потенциално закупуване и разпространение на съдържание на CSAM.

Анализът на Insinkt подчертава потенциала на данните от Infostealer за подпомагане на правоприлагащите органи при проследяване на злоупотреби с деца и преследване на лица.