Запознайте се с Jack от Румъния! Главатар на Golden Chickens

Самоличността на втория член на бандата Golden Chickens, е разкрита благодарение на фатална грешка в оперативната сигурност, съобщиха от фирмата за киберсигурност eSentire.

Въпросното лице, което живее в Букурещ, Румъния, е получило кодовото име Джак. Той е един от двамата престъпници, които управляват акаунт в рускоезичния форум Exploit.in под името „badbullzvenom“, а другият е „Chuck from Montreal“.

eSentire характеризира Джак като истинския мозък, който стои зад Golden Chickens. Доказателствата, открити от канадската компания, показват, че той е посочен и като собственик на фирма за внос и износ на зеленчуци и плодове.

„Подобно на „Чък от Монреал“, „Джак“ използва множество псевдоними за подземните форуми, социалните медии и акаунтите в Jabber и също е положил много усилия, за да се прикрие“, казват изследователите на eSentire Джо Стюарт и Киган Кеплингер.

„Джак“ е положил много усилия да замаже зловредния софтуер Golden Chickens, като се е опитал да го направи неоткриваем от повечето [антивирусни] компании и стриктно е позволил само на малък брой клиенти да закупят достъп до Golden Chickens MaaS.“

Golden Chickens (известен още като More_eggs) е пакет от зловреден софтуер, използван от финансово мотивирани киберпрестъпници като Cobalt Group и FIN6. Хакерите, които стоят зад зловредния софтуер, известен също като Venom Spider, работят по модела „зловреден софтуер като услуга“ (MaaS).

Зловредният софтуер на JavaScript се разпространява чрез фишинг кампании и се предлага с няколко компонента за събиране на финансова информация, извършване на странично движение и дори пускане на приставка за откуп за PureLocker, наречена TerraCrypt.

Според eSentire онлайн дейностите на Джак датират още от 2008 г., когато той е бил само на 15 години и се е регистрирал в различни форуми за киберпрестъпления като начинаещ член. Всичките му псевдоними се проследяват под общото име LUCKY.

При съставянето на цифровата му следа разследването проследява прогреса на Джак от тийнейджър, който се интересува от създаването на злонамерени програми, до дългогодишен хакер, занимаващ се с разработване на програми за кражба на пароли, криптиране и More_eggs.

 

Едни от първите инструменти за зловреден софтуер, разработени от Джак през 2008 г., са Voyer, който може да събира незабавните съобщения на потребителя в Yahoo, и програма за кражба на информация, кръстена FlyCatcher, която може да записва натискания на клавиши.

Година по-късно Джак пусна нова програма за кражба на пароли, наречена CON, която е предназначена за извличане на идентификационни данни от различни уеб браузъри, VPN и FTP приложения, както и от вече несъществуващи приложения за съобщения като MSN Messenger и Yahoo! Messenger.

По-късно същата година Jack започва да рекламира криптограф, наречен GHOST, който помага на други престъпници да криптират и замаскират зловреден софтуер с цел избягване на откриването му. Смята се, че неочакваната смърт на баща му при автомобилна катастрофа го е накарала да спре разработването на инструмента през 2010 г.

Бързо напред до 2012 г. Джак започва да придобива репутация в киберпрестъпната общност като измамник, тъй като не успява да осигури адекватна поддръжка на клиентите, закупили продукта от него.

Той също така цитира „големи житейски проблеми“ в публикация във форума на 27 април 2012 г., в която заявява, че обмисля да се премести в Пакистан, за да работи за правителството като специалист по сигурността, и че един от клиентите му на криптовалута „работи в pakistan guv“ [чете се правителството].

Не е ясно веднага дали Джак в крайна сметка е отишъл в Пакистан, но от eSentire заявиха, че са забелязали тактическо припокриване между кампания от 2019 г., проведена от пакистанска група, известна като SideCopy, и зловредния софтуер VenomLNK на Джак, който функционира като първоначален вектор за достъп до задната врата More_eggs.

Предполага се, че Джак е пресякъл пътя си с „Чък от Монреал“ някъде между края на 2012 г. и 4 октомври 2013 г. – датата, на която от акаунта на Чък badbullz във форума Lampeduza е публикувано съобщение, съдържащо информация за контакт – адрес в Jabber – свързана с LUCKY.

Предполага се, че Джак е сключил сделка с Чък, която да му позволи да публикува под псевдонимите на Чък „badbullz“ и „badbullzvenom“ в различни ъндърграунд форуми като начин да заобиколи славата  на измамник.

В подкрепа на тази хипотеза е фактът, че един от новите инструменти на LUCKY – комплект за създаване на макроси, наречен MULTIPLIER, е пуснат през 2015 г. чрез акаунта badbullzvenom, докато заплашващият  LUCKY престава да публикува чрез този акаунт.

„Като използва акаунтите badbullzvenom и badbullz и без знанието на членовете на форума, той по същество започва с чиста позиция и може да продължи да изгражда своя авторитет под псевдонимите на акаунтите: badbullz и badbullzvenom“, обяснява изследователят.

Впоследствие, през 2017 г., badbullzvenom (известен още като LUCKY) пуска отделен инструмент, наречен VenomKit, който оттогава еволюира в Golden Chickens MaaS. Способността на зловредния софтуер да избягва засичане привлече вниманието и на Cobalt Group, базирана в Русия киберпрестъпна групировка, която го използва, за да внедри Cobalt Strike в атаки, насочени към финансови структури.

Две години по-късно беше забелязано, че друг финансово мотивиран участник в заплахатахакер, обозначен като FIN6 (известен още като ITG08 или Skeleton Spider), използва услугата Golden Chickens, за да закрепи своите прониквания, насочени към машини за продажба на дребно, използвани от търговци на дребно в Европа и САЩ.

Фирмата за киберсигурност заяви, че е открила и самоличността на съпругата, майката и двете му сестри. Твърди се, че той и съпругата му живеят в елитна част на Букурещ, а акаунтите на съпругата му в социалните медии документират техни пътувания до градове като Лондон, Париж и Милано. На снимките освен това се вижда, че носят дизайнерски дрехи и аксесоари.

„Извършителят, който се е подвизавал под псевдонима LUCKY и който също така споделя акаунтите badbullz и badbullzvenom с базирания в Монреал киберпрестъпник „Chuck“, е направил фаталната си грешка, когато е използвал акаунта в Jabber“, казват изследователите.

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
Бъдете социални
Още по темата
13/05/2023

GameFace - да контролираш к...

ИИ може да бъде добрата сила....
13/04/2023

ChatGPT Сигурност: OpenAI ...

Компанията OpenAI, която стои зад  популярния...
12/04/2023

Директорът на CBI е уволнен...

Промишлената лобистка група възложи проверка на...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!