Самоличността на втория член на бандата Golden Chickens, е разкрита благодарение на фатална грешка в оперативната сигурност, съобщиха от фирмата за киберсигурност eSentire.

Въпросното лице, което живее в Букурещ, Румъния, е получило кодовото име Джак. Той е един от двамата престъпници, които управляват акаунт в рускоезичния форум Exploit.in под името „badbullzvenom“, а другият е „Chuck from Montreal“.

eSentire характеризира Джак като истинския мозък, който стои зад Golden Chickens. Доказателствата, открити от канадската компания, показват, че той е посочен и като собственик на фирма за внос и износ на зеленчуци и плодове.

„Подобно на „Чък от Монреал“, „Джак“ използва множество псевдоними за подземните форуми, социалните медии и акаунтите в Jabber и също е положил много усилия, за да се прикрие“, казват изследователите на eSentire Джо Стюарт и Киган Кеплингер.

„Джак“ е положил много усилия да замаже зловредния софтуер Golden Chickens, като се е опитал да го направи неоткриваем от повечето [антивирусни] компании и стриктно е позволил само на малък брой клиенти да закупят достъп до Golden Chickens MaaS.“

Golden Chickens (известен още като More_eggs) е пакет от зловреден софтуер, използван от финансово мотивирани киберпрестъпници като Cobalt Group и FIN6. Хакерите, които стоят зад зловредния софтуер, известен също като Venom Spider, работят по модела „зловреден софтуер като услуга“ (MaaS).

Зловредният софтуер на JavaScript се разпространява чрез фишинг кампании и се предлага с няколко компонента за събиране на финансова информация, извършване на странично движение и дори пускане на приставка за откуп за PureLocker, наречена TerraCrypt.

Според eSentire онлайн дейностите на Джак датират още от 2008 г., когато той е бил само на 15 години и се е регистрирал в различни форуми за киберпрестъпления като начинаещ член. Всичките му псевдоними се проследяват под общото име LUCKY.

При съставянето на цифровата му следа разследването проследява прогреса на Джак от тийнейджър, който се интересува от създаването на злонамерени програми, до дългогодишен хакер, занимаващ се с разработване на програми за кражба на пароли, криптиране и More_eggs.

 

Едни от първите инструменти за зловреден софтуер, разработени от Джак през 2008 г., са Voyer, който може да събира незабавните съобщения на потребителя в Yahoo, и програма за кражба на информация, кръстена FlyCatcher, която може да записва натискания на клавиши.

Година по-късно Джак пусна нова програма за кражба на пароли, наречена CON, която е предназначена за извличане на идентификационни данни от различни уеб браузъри, VPN и FTP приложения, както и от вече несъществуващи приложения за съобщения като MSN Messenger и Yahoo! Messenger.

По-късно същата година Jack започва да рекламира криптограф, наречен GHOST, който помага на други престъпници да криптират и замаскират зловреден софтуер с цел избягване на откриването му. Смята се, че неочакваната смърт на баща му при автомобилна катастрофа го е накарала да спре разработването на инструмента през 2010 г.

Бързо напред до 2012 г. Джак започва да придобива репутация в киберпрестъпната общност като измамник, тъй като не успява да осигури адекватна поддръжка на клиентите, закупили продукта от него.

Той също така цитира „големи житейски проблеми“ в публикация във форума на 27 април 2012 г., в която заявява, че обмисля да се премести в Пакистан, за да работи за правителството като специалист по сигурността, и че един от клиентите му на криптовалута „работи в pakistan guv“ [чете се правителството].

Не е ясно веднага дали Джак в крайна сметка е отишъл в Пакистан, но от eSentire заявиха, че са забелязали тактическо припокриване между кампания от 2019 г., проведена от пакистанска група, известна като SideCopy, и зловредния софтуер VenomLNK на Джак, който функционира като първоначален вектор за достъп до задната врата More_eggs.

Предполага се, че Джак е пресякъл пътя си с „Чък от Монреал“ някъде между края на 2012 г. и 4 октомври 2013 г. – датата, на която от акаунта на Чък badbullz във форума Lampeduza е публикувано съобщение, съдържащо информация за контакт – адрес в Jabber – свързана с LUCKY.

Предполага се, че Джак е сключил сделка с Чък, която да му позволи да публикува под псевдонимите на Чък „badbullz“ и „badbullzvenom“ в различни ъндърграунд форуми като начин да заобиколи славата  на измамник.

В подкрепа на тази хипотеза е фактът, че един от новите инструменти на LUCKY – комплект за създаване на макроси, наречен MULTIPLIER, е пуснат през 2015 г. чрез акаунта badbullzvenom, докато заплашващият  LUCKY престава да публикува чрез този акаунт.

„Като използва акаунтите badbullzvenom и badbullz и без знанието на членовете на форума, той по същество започва с чиста позиция и може да продължи да изгражда своя авторитет под псевдонимите на акаунтите: badbullz и badbullzvenom“, обяснява изследователят.

Впоследствие, през 2017 г., badbullzvenom (известен още като LUCKY) пуска отделен инструмент, наречен VenomKit, който оттогава еволюира в Golden Chickens MaaS. Способността на зловредния софтуер да избягва засичане привлече вниманието и на Cobalt Group, базирана в Русия киберпрестъпна групировка, която го използва, за да внедри Cobalt Strike в атаки, насочени към финансови структури.

Две години по-късно беше забелязано, че друг финансово мотивиран участник в заплахатахакер, обозначен като FIN6 (известен още като ITG08 или Skeleton Spider), използва услугата Golden Chickens, за да закрепи своите прониквания, насочени към машини за продажба на дребно, използвани от търговци на дребно в Европа и САЩ.

Фирмата за киберсигурност заяви, че е открила и самоличността на съпругата, майката и двете му сестри. Твърди се, че той и съпругата му живеят в елитна част на Букурещ, а акаунтите на съпругата му в социалните медии документират техни пътувания до градове като Лондон, Париж и Милано. На снимките освен това се вижда, че носят дизайнерски дрехи и аксесоари.

„Извършителят, който се е подвизавал под псевдонима LUCKY и който също така споделя акаунтите badbullz и badbullzvenom с базирания в Монреал киберпрестъпник „Chuck“, е направил фаталната си грешка, когато е използвал акаунта в Jabber“, казват изследователите.

Източник: The Hacker News

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
16/01/2025

Приключи световното първенс...

Тази седмица международният майстор Леви Розман...
06/01/2025

Новите хладилници на Samsun...

Samsung въвежда възможности за пазаруване на...
05/01/2025

От първо лице: Измъчване на...

Израснах в сянката на велики хакери,...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!