Хиляди педофили, които изтеглят и споделят материали със сексуално насилие над деца (CSAM), бяха идентифицирани чрез логове на зловреден софтуер, крадящ информация, които изтекоха в тъмната мрежа, което подчертава ново измерение на използването на откраднати идентификационни данни в разследванията на правоприлагащите органи.
Новото използване на набора от данни е извършено от Insikt Group на Recorded Future, които споделиха доклад, в който обясняват как са идентифицирали 3324 уникални акаунта, които са имали достъп до незаконни портали, известни с разпространението на CSAM.
Използвайки други данни, откраднати от целта, анализаторите на Insikt са могли да проследят тези акаунти до потребителски имена на различни платформи, да извлекат техните IP адреси и дори системна информация.
Тази информация, събрана от Insikt Group, е била споделена с правоприлагащите органи, за да се разкрие самоличността на тези лица и да се пристъпи към арести.
Stealer log е колекция от данни, откраднати от определено лице чрез зловреден софтуер за кражба на информация, като Redline, Raccoon и Vidar, от заразени системи.
Когато тези видове зловреден софтуер се изпълняват на дадено устройство, те събират идентификационни данни, история на браузъра, бисквитки на браузъра, данни за автоматично попълване, информация от портфейла за криптовалута, снимки на екрана и системна информация.
След това информацията се пакетира в архив, наречен „лог“, който се предава обратно към сървърите на заплахата.
След това извършителите могат да използват тези откраднати идентификационни данни, за да проникнат в други акаунти, да извършват корпоративни атаки или да ги продадат на други киберпрестъпници в тъмната мрежа, Telegram и други платформи. Поради техния размер и брой тези записи рядко се разглеждат внимателно и се категоризират, а по-скоро се продават в насипно състояние.
Предишни анализи показаха, че логовете на крадците на информация могат да съдържат важни данни за бизнес акаунти или идентификационни данни за акаунти, които могат да разкрият патентована информация.
Тъй като този тип зловреден софтуер обикновено се разпространява чрез пиратски софтуер, злонамерена реклама и фалшиви актуализации, той може да изсмуква данни от заразени системи за продължителни периоди от време, без жертвата да разбере това.
Това включва потребители на CSAM, които без свое знание разкриват всички идентификационни данни за своето онлайн банкиране, електронна поща и други законни акаунти, както и идентификационните данни за акаунти, използвани за достъп до сайтове на CSAM, които изискват регистрация.
Анализаторите на Insikt използваха дневниците на infostealer, заснети между февруари 2021 г. и февруари 2024 г., за да идентифицират CSAM потребителите чрез съпоставяне на откраднатите идентификационни данни с двадесет известни CSAM домейна.
След това те отстраниха дублиращите се данни, за да стеснят резултатите до 3324 уникални двойки потребителско име и парола.
Тъй като зловредният софтуер за кражба на информация краде всички данни, записани в браузъра, изследователите са успели да свържат притежателите на CSAM акаунти с техните законни онлайн акаунти, като електронна поща, банкиране, онлайн пазаруване, мобилни оператори и социални медии.
След това те са използвали разузнавателни данни от отворен източник (OSINT) и цифрови артефакти, за да съберат още разкриваща информация за тези потребители. Тези улики включват:
В доклада на Recorded Future се посочват три случая на идентифицирани лица, обобщени, както следва:
Анализът на Insinkt подчертава потенциала на данните от Infostealer за подпомагане на правоприлагащите органи при проследяване на злоупотреби с деца и преследване на лица.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.