Самоличността на втория член на бандата Golden Chickens, е разкрита благодарение на фатална грешка в оперативната сигурност, съобщиха от фирмата за киберсигурност eSentire.
Въпросното лице, което живее в Букурещ, Румъния, е получило кодовото име Джак. Той е един от двамата престъпници, които управляват акаунт в рускоезичния форум Exploit.in под името „badbullzvenom“, а другият е „Chuck from Montreal“.
eSentire характеризира Джак като истинския мозък, който стои зад Golden Chickens. Доказателствата, открити от канадската компания, показват, че той е посочен и като собственик на фирма за внос и износ на зеленчуци и плодове.
„Подобно на „Чък от Монреал“, „Джак“ използва множество псевдоними за подземните форуми, социалните медии и акаунтите в Jabber и също е положил много усилия, за да се прикрие“, казват изследователите на eSentire Джо Стюарт и Киган Кеплингер.
„Джак“ е положил много усилия да замаже зловредния софтуер Golden Chickens, като се е опитал да го направи неоткриваем от повечето [антивирусни] компании и стриктно е позволил само на малък брой клиенти да закупят достъп до Golden Chickens MaaS.“
Golden Chickens (известен още като More_eggs) е пакет от зловреден софтуер, използван от финансово мотивирани киберпрестъпници като Cobalt Group и FIN6. Хакерите, които стоят зад зловредния софтуер, известен също като Venom Spider, работят по модела „зловреден софтуер като услуга“ (MaaS).
Зловредният софтуер на JavaScript се разпространява чрез фишинг кампании и се предлага с няколко компонента за събиране на финансова информация, извършване на странично движение и дори пускане на приставка за откуп за PureLocker, наречена TerraCrypt.
Според eSentire онлайн дейностите на Джак датират още от 2008 г., когато той е бил само на 15 години и се е регистрирал в различни форуми за киберпрестъпления като начинаещ член. Всичките му псевдоними се проследяват под общото име LUCKY.
При съставянето на цифровата му следа разследването проследява прогреса на Джак от тийнейджър, който се интересува от създаването на злонамерени програми, до дългогодишен хакер, занимаващ се с разработване на програми за кражба на пароли, криптиране и More_eggs.
Едни от първите инструменти за зловреден софтуер, разработени от Джак през 2008 г., са Voyer, който може да събира незабавните съобщения на потребителя в Yahoo, и програма за кражба на информация, кръстена FlyCatcher, която може да записва натискания на клавиши.
Година по-късно Джак пусна нова програма за кражба на пароли, наречена CON, която е предназначена за извличане на идентификационни данни от различни уеб браузъри, VPN и FTP приложения, както и от вече несъществуващи приложения за съобщения като MSN Messenger и Yahoo! Messenger.
По-късно същата година Jack започва да рекламира криптограф, наречен GHOST, който помага на други престъпници да криптират и замаскират зловреден софтуер с цел избягване на откриването му. Смята се, че неочакваната смърт на баща му при автомобилна катастрофа го е накарала да спре разработването на инструмента през 2010 г.
Бързо напред до 2012 г. Джак започва да придобива репутация в киберпрестъпната общност като измамник, тъй като не успява да осигури адекватна поддръжка на клиентите, закупили продукта от него.
Той също така цитира „големи житейски проблеми“ в публикация във форума на 27 април 2012 г., в която заявява, че обмисля да се премести в Пакистан, за да работи за правителството като специалист по сигурността, и че един от клиентите му на криптовалута „работи в pakistan guv“ [чете се правителството].
Не е ясно веднага дали Джак в крайна сметка е отишъл в Пакистан, но от eSentire заявиха, че са забелязали тактическо припокриване между кампания от 2019 г., проведена от пакистанска група, известна като SideCopy, и зловредния софтуер VenomLNK на Джак, който функционира като първоначален вектор за достъп до задната врата More_eggs.
Предполага се, че Джак е пресякъл пътя си с „Чък от Монреал“ някъде между края на 2012 г. и 4 октомври 2013 г. – датата, на която от акаунта на Чък badbullz във форума Lampeduza е публикувано съобщение, съдържащо информация за контакт – адрес в Jabber – свързана с LUCKY.
Предполага се, че Джак е сключил сделка с Чък, която да му позволи да публикува под псевдонимите на Чък „badbullz“ и „badbullzvenom“ в различни ъндърграунд форуми като начин да заобиколи славата на измамник.
В подкрепа на тази хипотеза е фактът, че един от новите инструменти на LUCKY – комплект за създаване на макроси, наречен MULTIPLIER, е пуснат през 2015 г. чрез акаунта badbullzvenom, докато заплашващият LUCKY престава да публикува чрез този акаунт.
„Като използва акаунтите badbullzvenom и badbullz и без знанието на членовете на форума, той по същество започва с чиста позиция и може да продължи да изгражда своя авторитет под псевдонимите на акаунтите: badbullz и badbullzvenom“, обяснява изследователят.
Впоследствие, през 2017 г., badbullzvenom (известен още като LUCKY) пуска отделен инструмент, наречен VenomKit, който оттогава еволюира в Golden Chickens MaaS. Способността на зловредния софтуер да избягва засичане привлече вниманието и на Cobalt Group, базирана в Русия киберпрестъпна групировка, която го използва, за да внедри Cobalt Strike в атаки, насочени към финансови структури.
Две години по-късно беше забелязано, че друг финансово мотивиран участник в заплахатахакер, обозначен като FIN6 (известен още като ITG08 или Skeleton Spider), използва услугата Golden Chickens, за да закрепи своите прониквания, насочени към машини за продажба на дребно, използвани от търговци на дребно в Европа и САЩ.
Фирмата за киберсигурност заяви, че е открила и самоличността на съпругата, майката и двете му сестри. Твърди се, че той и съпругата му живеят в елитна част на Букурещ, а акаунтите на съпругата му в социалните медии документират техни пътувания до градове като Лондон, Париж и Милано. На снимките освен това се вижда, че носят дизайнерски дрехи и аксесоари.
„Извършителят, който се е подвизавал под псевдонима LUCKY и който също така споделя акаунтите badbullz и badbullzvenom с базирания в Монреал киберпрестъпник „Chuck“, е направил фаталната си грешка, когато е използвал акаунта в Jabber“, казват изследователите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.