Търсене
Close this search box.

Самоличността на втория член на бандата Golden Chickens, е разкрита благодарение на фатална грешка в оперативната сигурност, съобщиха от фирмата за киберсигурност eSentire.

Въпросното лице, което живее в Букурещ, Румъния, е получило кодовото име Джак. Той е един от двамата престъпници, които управляват акаунт в рускоезичния форум Exploit.in под името „badbullzvenom“, а другият е „Chuck from Montreal“.

eSentire характеризира Джак като истинския мозък, който стои зад Golden Chickens. Доказателствата, открити от канадската компания, показват, че той е посочен и като собственик на фирма за внос и износ на зеленчуци и плодове.

„Подобно на „Чък от Монреал“, „Джак“ използва множество псевдоними за подземните форуми, социалните медии и акаунтите в Jabber и също е положил много усилия, за да се прикрие“, казват изследователите на eSentire Джо Стюарт и Киган Кеплингер.

„Джак“ е положил много усилия да замаже зловредния софтуер Golden Chickens, като се е опитал да го направи неоткриваем от повечето [антивирусни] компании и стриктно е позволил само на малък брой клиенти да закупят достъп до Golden Chickens MaaS.“

Golden Chickens (известен още като More_eggs) е пакет от зловреден софтуер, използван от финансово мотивирани киберпрестъпници като Cobalt Group и FIN6. Хакерите, които стоят зад зловредния софтуер, известен също като Venom Spider, работят по модела „зловреден софтуер като услуга“ (MaaS).

Зловредният софтуер на JavaScript се разпространява чрез фишинг кампании и се предлага с няколко компонента за събиране на финансова информация, извършване на странично движение и дори пускане на приставка за откуп за PureLocker, наречена TerraCrypt.

Според eSentire онлайн дейностите на Джак датират още от 2008 г., когато той е бил само на 15 години и се е регистрирал в различни форуми за киберпрестъпления като начинаещ член. Всичките му псевдоними се проследяват под общото име LUCKY.

При съставянето на цифровата му следа разследването проследява прогреса на Джак от тийнейджър, който се интересува от създаването на злонамерени програми, до дългогодишен хакер, занимаващ се с разработване на програми за кражба на пароли, криптиране и More_eggs.

 

Едни от първите инструменти за зловреден софтуер, разработени от Джак през 2008 г., са Voyer, който може да събира незабавните съобщения на потребителя в Yahoo, и програма за кражба на информация, кръстена FlyCatcher, която може да записва натискания на клавиши.

Година по-късно Джак пусна нова програма за кражба на пароли, наречена CON, която е предназначена за извличане на идентификационни данни от различни уеб браузъри, VPN и FTP приложения, както и от вече несъществуващи приложения за съобщения като MSN Messenger и Yahoo! Messenger.

По-късно същата година Jack започва да рекламира криптограф, наречен GHOST, който помага на други престъпници да криптират и замаскират зловреден софтуер с цел избягване на откриването му. Смята се, че неочакваната смърт на баща му при автомобилна катастрофа го е накарала да спре разработването на инструмента през 2010 г.

Бързо напред до 2012 г. Джак започва да придобива репутация в киберпрестъпната общност като измамник, тъй като не успява да осигури адекватна поддръжка на клиентите, закупили продукта от него.

Той също така цитира „големи житейски проблеми“ в публикация във форума на 27 април 2012 г., в която заявява, че обмисля да се премести в Пакистан, за да работи за правителството като специалист по сигурността, и че един от клиентите му на криптовалута „работи в pakistan guv“ [чете се правителството].

Не е ясно веднага дали Джак в крайна сметка е отишъл в Пакистан, но от eSentire заявиха, че са забелязали тактическо припокриване между кампания от 2019 г., проведена от пакистанска група, известна като SideCopy, и зловредния софтуер VenomLNK на Джак, който функционира като първоначален вектор за достъп до задната врата More_eggs.

Предполага се, че Джак е пресякъл пътя си с „Чък от Монреал“ някъде между края на 2012 г. и 4 октомври 2013 г. – датата, на която от акаунта на Чък badbullz във форума Lampeduza е публикувано съобщение, съдържащо информация за контакт – адрес в Jabber – свързана с LUCKY.

Предполага се, че Джак е сключил сделка с Чък, която да му позволи да публикува под псевдонимите на Чък „badbullz“ и „badbullzvenom“ в различни ъндърграунд форуми като начин да заобиколи славата  на измамник.

В подкрепа на тази хипотеза е фактът, че един от новите инструменти на LUCKY – комплект за създаване на макроси, наречен MULTIPLIER, е пуснат през 2015 г. чрез акаунта badbullzvenom, докато заплашващият  LUCKY престава да публикува чрез този акаунт.

„Като използва акаунтите badbullzvenom и badbullz и без знанието на членовете на форума, той по същество започва с чиста позиция и може да продължи да изгражда своя авторитет под псевдонимите на акаунтите: badbullz и badbullzvenom“, обяснява изследователят.

Впоследствие, през 2017 г., badbullzvenom (известен още като LUCKY) пуска отделен инструмент, наречен VenomKit, който оттогава еволюира в Golden Chickens MaaS. Способността на зловредния софтуер да избягва засичане привлече вниманието и на Cobalt Group, базирана в Русия киберпрестъпна групировка, която го използва, за да внедри Cobalt Strike в атаки, насочени към финансови структури.

Две години по-късно беше забелязано, че друг финансово мотивиран участник в заплахатахакер, обозначен като FIN6 (известен още като ITG08 или Skeleton Spider), използва услугата Golden Chickens, за да закрепи своите прониквания, насочени към машини за продажба на дребно, използвани от търговци на дребно в Европа и САЩ.

Фирмата за киберсигурност заяви, че е открила и самоличността на съпругата, майката и двете му сестри. Твърди се, че той и съпругата му живеят в елитна част на Букурещ, а акаунтите на съпругата му в социалните медии документират техни пътувания до градове като Лондон, Париж и Милано. На снимките освен това се вижда, че носят дизайнерски дрехи и аксесоари.

„Извършителят, който се е подвизавал под псевдонима LUCKY и който също така споделя акаунтите badbullz и badbullzvenom с базирания в Монреал киберпрестъпник „Chuck“, е направил фаталната си грешка, когато е използвал акаунта в Jabber“, казват изследователите.

Източник: The Hacker News

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
17 септември 2024

Група за рансъмуер публикува данни, за които се...

Групата за рансъмуер RansomHub е публикувала 487 гигабайта данни, з...
Бъдете социални
Още по темата
22/08/2024

Баща хаква държавния регист...

Баща-безделник от Кентъки е осъден на...
27/07/2024

Китайски синдикат за робски...

Незаконна хазартна империя, подхранвана от съвременното...
25/07/2024

KnowBe4 наема фалшив северн...

Във вторник фирмата KnowBe4 от Флорида,...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!