Запознайте се с Jack от Румъния! Главатар на Golden Chickens

Picture of e-security.bg
e-security.bg
Aрхив | Факти и данни

Самоличността на втория член на бандата Golden Chickens, е разкрита благодарение на фатална грешка в оперативната сигурност, съобщиха от фирмата за киберсигурност eSentire.

Въпросното лице, което живее в Букурещ, Румъния, е получило кодовото име Джак. Той е един от двамата престъпници, които управляват акаунт в рускоезичния форум Exploit.in под името „badbullzvenom“, а другият е „Chuck from Montreal“.

eSentire характеризира Джак като истинския мозък, който стои зад Golden Chickens. Доказателствата, открити от канадската компания, показват, че той е посочен и като собственик на фирма за внос и износ на зеленчуци и плодове.

„Подобно на „Чък от Монреал“, „Джак“ използва множество псевдоними за подземните форуми, социалните медии и акаунтите в Jabber и също е положил много усилия, за да се прикрие“, казват изследователите на eSentire Джо Стюарт и Киган Кеплингер.

„Джак“ е положил много усилия да замаже зловредния софтуер Golden Chickens, като се е опитал да го направи неоткриваем от повечето [антивирусни] компании и стриктно е позволил само на малък брой клиенти да закупят достъп до Golden Chickens MaaS.“

Golden Chickens (известен още като More_eggs) е пакет от зловреден софтуер, използван от финансово мотивирани киберпрестъпници като Cobalt Group и FIN6. Хакерите, които стоят зад зловредния софтуер, известен също като Venom Spider, работят по модела „зловреден софтуер като услуга“ (MaaS).

Зловредният софтуер на JavaScript се разпространява чрез фишинг кампании и се предлага с няколко компонента за събиране на финансова информация, извършване на странично движение и дори пускане на приставка за откуп за PureLocker, наречена TerraCrypt.

Според eSentire онлайн дейностите на Джак датират още от 2008 г., когато той е бил само на 15 години и се е регистрирал в различни форуми за киберпрестъпления като начинаещ член. Всичките му псевдоними се проследяват под общото име LUCKY.

При съставянето на цифровата му следа разследването проследява прогреса на Джак от тийнейджър, който се интересува от създаването на злонамерени програми, до дългогодишен хакер, занимаващ се с разработване на програми за кражба на пароли, криптиране и More_eggs.

 

Едни от първите инструменти за зловреден софтуер, разработени от Джак през 2008 г., са Voyer, който може да събира незабавните съобщения на потребителя в Yahoo, и програма за кражба на информация, кръстена FlyCatcher, която може да записва натискания на клавиши.

Година по-късно Джак пусна нова програма за кражба на пароли, наречена CON, която е предназначена за извличане на идентификационни данни от различни уеб браузъри, VPN и FTP приложения, както и от вече несъществуващи приложения за съобщения като MSN Messenger и Yahoo! Messenger.

По-късно същата година Jack започва да рекламира криптограф, наречен GHOST, който помага на други престъпници да криптират и замаскират зловреден софтуер с цел избягване на откриването му. Смята се, че неочакваната смърт на баща му при автомобилна катастрофа го е накарала да спре разработването на инструмента през 2010 г.

Бързо напред до 2012 г. Джак започва да придобива репутация в киберпрестъпната общност като измамник, тъй като не успява да осигури адекватна поддръжка на клиентите, закупили продукта от него.

Той също така цитира „големи житейски проблеми“ в публикация във форума на 27 април 2012 г., в която заявява, че обмисля да се премести в Пакистан, за да работи за правителството като специалист по сигурността, и че един от клиентите му на криптовалута „работи в pakistan guv“ [чете се правителството].

Не е ясно веднага дали Джак в крайна сметка е отишъл в Пакистан, но от eSentire заявиха, че са забелязали тактическо припокриване между кампания от 2019 г., проведена от пакистанска група, известна като SideCopy, и зловредния софтуер VenomLNK на Джак, който функционира като първоначален вектор за достъп до задната врата More_eggs.

Предполага се, че Джак е пресякъл пътя си с „Чък от Монреал“ някъде между края на 2012 г. и 4 октомври 2013 г. – датата, на която от акаунта на Чък badbullz във форума Lampeduza е публикувано съобщение, съдържащо информация за контакт – адрес в Jabber – свързана с LUCKY.

Предполага се, че Джак е сключил сделка с Чък, която да му позволи да публикува под псевдонимите на Чък „badbullz“ и „badbullzvenom“ в различни ъндърграунд форуми като начин да заобиколи славата  на измамник.

В подкрепа на тази хипотеза е фактът, че един от новите инструменти на LUCKY – комплект за създаване на макроси, наречен MULTIPLIER, е пуснат през 2015 г. чрез акаунта badbullzvenom, докато заплашващият  LUCKY престава да публикува чрез този акаунт.

„Като използва акаунтите badbullzvenom и badbullz и без знанието на членовете на форума, той по същество започва с чиста позиция и може да продължи да изгражда своя авторитет под псевдонимите на акаунтите: badbullz и badbullzvenom“, обяснява изследователят.

Впоследствие, през 2017 г., badbullzvenom (известен още като LUCKY) пуска отделен инструмент, наречен VenomKit, който оттогава еволюира в Golden Chickens MaaS. Способността на зловредния софтуер да избягва засичане привлече вниманието и на Cobalt Group, базирана в Русия киберпрестъпна групировка, която го използва, за да внедри Cobalt Strike в атаки, насочени към финансови структури.

Две години по-късно беше забелязано, че друг финансово мотивиран участник в заплахатахакер, обозначен като FIN6 (известен още като ITG08 или Skeleton Spider), използва услугата Golden Chickens, за да закрепи своите прониквания, насочени към машини за продажба на дребно, използвани от търговци на дребно в Европа и САЩ.

Фирмата за киберсигурност заяви, че е открила и самоличността на съпругата, майката и двете му сестри. Твърди се, че той и съпругата му живеят в елитна част на Букурещ, а акаунтите на съпругата му в социалните медии документират техни пътувания до градове като Лондон, Париж и Милано. На снимките освен това се вижда, че носят дизайнерски дрехи и аксесоари.

„Извършителят, който се е подвизавал под псевдонима LUCKY и който също така споделя акаунтите badbullz и badbullzvenom с базирания в Монреал киберпрестъпник „Chuck“, е направил фаталната си грешка, когато е използвал акаунта в Jabber“, казват изследователите.

#любопитно
The Hacker News

Подобни

Германските власти арестуваха предполагаемия администратор на Dream Market
15.05.2026
thumbnail_Cybersecurity Awareness Month2
Kонфликтът в Близкия изток поставя под риск глобалния интернет
15.05.2026
geralt-artificial-intelligence-3382507_640
Ransomware атаки удариха West Pharmaceutical и Foxconn
15.05.2026
ransomware
Microsoft отстрани ръководителя на израелското си подразделение
14.05.2026
microsoft
Instagram копира BeReal и Snapchat с нова функция
14.05.2026
meta
Google представи нови Android функции с ИИ
14.05.2026
google-gemini

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy