Търсене
Close this search box.

Хиляди педофили, които изтеглят и споделят материали със сексуално насилие над деца (CSAM), бяха идентифицирани чрез логове на зловреден софтуер, крадящ информация, които изтекоха в тъмната мрежа, което подчертава ново измерение на използването на откраднати идентификационни данни в разследванията на правоприлагащите органи.

Новото използване на набора от данни е извършено от Insikt Group на Recorded Future, които споделиха доклад, в който обясняват как са идентифицирали 3324 уникални акаунта, които са имали достъп до незаконни портали, известни с разпространението на CSAM.

Използвайки други данни, откраднати от целта, анализаторите на Insikt са могли да проследят тези акаунти до потребителски имена на различни платформи, да извлекат техните IP адреси и дори системна информация.

Тази информация, събрана от Insikt Group, е била споделена с правоприлагащите органи, за да се разкрие самоличността на тези лица и да се пристъпи към арести.

Използване на логовете на крадците за добри цели

Stealer log е колекция от данни, откраднати от определено лице чрез зловреден софтуер за кражба на информация, като Redline, Raccoon и Vidar, от заразени системи.

Когато тези видове зловреден софтуер се изпълняват на дадено устройство, те събират идентификационни данни, история на браузъра, бисквитки на браузъра, данни за автоматично попълване, информация от портфейла за криптовалута, снимки на екрана и системна информация.

След това информацията се пакетира в архив, наречен „лог“, който се предава обратно към сървърите на заплахата.

След това извършителите могат да използват тези откраднати идентификационни данни, за да проникнат в други акаунти, да извършват корпоративни атаки или да ги продадат на други киберпрестъпници в тъмната мрежа, Telegram и други платформи. Поради техния размер и брой тези записи рядко се разглеждат внимателно и се категоризират, а по-скоро се продават в насипно състояние.

Предишни анализи показаха, че логовете на крадците на информация могат да съдържат важни данни за бизнес акаунти или идентификационни данни за акаунти, които могат да разкрият патентована информация.

Тъй като този тип зловреден софтуер обикновено се разпространява чрез пиратски софтуер, злонамерена реклама и фалшиви актуализации, той може да изсмуква данни от заразени системи за продължителни периоди от време, без жертвата да разбере това.

Това включва потребители на CSAM, които без свое знание разкриват всички идентификационни данни за своето онлайн банкиране, електронна поща и други законни акаунти, както и идентификационните данни за акаунти, използвани за достъп до сайтове на CSAM, които изискват регистрация.

Идентифициране на потребителите на CSAM

Анализаторите на Insikt използваха дневниците на infostealer, заснети между февруари 2021 г. и февруари 2024 г., за да идентифицират CSAM потребителите чрез съпоставяне на откраднатите идентификационни данни с двадесет известни CSAM домейна.

След това те отстраниха дублиращите се данни, за да стеснят резултатите до 3324 уникални двойки потребителско име и парола.

Тъй като зловредният софтуер за кражба на информация краде всички данни, записани в браузъра, изследователите са успели да свържат притежателите на CSAM акаунти с техните законни онлайн акаунти, като електронна поща, банкиране, онлайн пазаруване, мобилни оператори и социални медии.

След това те са използвали разузнавателни данни от отворен източник (OSINT) и цифрови артефакти, за да съберат още разкриваща информация за тези потребители. Тези улики включват:

  • адреси на портфейли с криптовалути и история на транзакциите.
  • Уеб акаунти и история на сърфиране, които не са свързани с CSAM.
  • Физически адреси, пълни имена, телефонни номера и имейл адреси, извлечени от данните за автоматично попълване на браузъра.
  • Асоциации с различни онлайн услуги, като акаунти в социални медии, правителствени уебсайтове и портали за кандидатстване за работа.

В доклада на Recorded Future се посочват три случая на идентифицирани лица, обобщени, както следва:

  • „d****“ – жител на Кливланд, Охайо, който преди това е осъден за експлоатация на деца и е регистриран като сексуален престъпник. Поддържа акаунти в поне четири сайта на CSAM.
  • „docto“ – жител на Илинойс, който работи като доброволец в детски болници и е регистриран за кражби на дребно. Поддържа акаунти в девет уебсайта на CSAM.
    „Bertty“ – Вероятно студент от Венецуела, който поддържа акаунти в поне пет сайта на CSAM. Историята на
  • трансакциите с криптовалута уличава потребителя в потенциално закупуване и разпространение на съдържание на CSAM.

Анализът на Insinkt подчертава потенциала на данните от Infostealer за подпомагане на правоприлагащите органи при проследяване на злоупотреби с деца и преследване на лица.

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
02/10/2024

Нарушението на данните на P...

Кредитният съюз Patelco е информирал властите,...
01/10/2024

Хавайски здравен център раз...

Клиниката на общността в Мауи съобщава,...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!