Istraživači kibernetičke bezbjednosti otkrili su stvarni identitet aktera prijetnji koji stoji iza malicioznog softvera poznatog kao Golden Chickens, koji se naziva online personom “badbullzvenom”.
Jedinica za odgovor na prijetnje eSentire-a (TRU), u iscrpnom izvještaju objavljenom nakon 16-mjesečne istrage, rekla je da je “pronašla višestruko spominjanje naloga badbullzvenom koji dijele dvije osobe”.
Za drugog aktera prijetnje, poznat kao Frapstar, se kaže da se identifikuje kao “Čak iz Montreala”, omogućavajući firmi za kiber bezbjednost da spoji digitalni otisak kriminalnog glumca.
Ovo uključuje njegovo pravo ime, slike, kućnu adresu, imena njegovih roditelja, braće i sestara i prijatelja, zajedno sa njegovim nalozima na društvenim mrežama i njegovim interesima. Takođe se navodi da je jedini vlasnik malog biznisa koji se vodi iz njegove kuće.
Golden Chickens, takođe poznat kao Venom Spider, je provajder malvera kao usluge (MaaS) koji je povezan sa raznim alatima kao što je Taurus Builder, softver za kreiranje malicioznih dokumenata, i More_eggs, JavaScript downloader koji se koristi za opsluživanje dodatnih korisnih podataka.
Sajber arsenal hakera koristile su druge istaknute cyber kriminalne grupe kao što su Cobalt Group (tzv. Cobalt Gang), Evilnum i FIN6 , za koje se procjenjuje da su svi zajedno prouzročili gubitke od ukupno 1,5 milijardi dolara.
Prošle kampanje More_eggs-a, od kojih neke datiraju iz 2017. godine, uključivale su poslovne profesionalce za krađu identiteta na LinkedIn-u sa lažnim ponudama za posao koje akterima prijetnji daju daljinsku kontrolu nad mašinom žrtve, koristeći je za prikupljanje informacija ili postavljanje malicioznog softvera.
Prošle godine, u svojevrsnom preokretu, ista taktika je upotrebljena da se izvrši napad na korporativne menadžere za zapošljavanje koristeći biografije natovarene malicioznim softverom kao vektorom infekcije.
Najraniji dokumentovani zapis o Frapsterovoj aktivnosti datira iz maja 2015. godine, kada je Trend Micro opisao osobu kao “usamljenog kriminalca” i entuzijastu luksuznih automobila.
“‘Chuck’, koji koristi više pseudonima za svoje “podzemne” forume, društvene mreže i Jabber naloge, i haker koji tvrdi da je iz Moldavije, uložio je mnogo napora da se prikriju tragovi”, rekli su istraživači eSentirea Joe Stewart i Keegan Keplinger.
“Takođe su se jako potrudili da prikriju zlonamjerni softver Golden Chickens, pokušavajući da ga učine nevidljivim od strane većine AV kompanija, i ograničavajući korisnike na korištenje Golden Chickens SAMO za ciljane napade.”
Sumnja se da je “Chuck” jedan od dva hakera koji upravljaju nalogom “badbullzvenom” na “podzemnom” forumu Exploit.in, dok se druga strana vjerovatno nalazi u Moldaviji ili Rumuniji, napominje eSentire.
Kanadska kompanija za kibernetičku bezbjednost saopštila je da je dalje otkrila novu kampanju napada usmjerenu na kompanije za e-trgovinu, prevarivši regrute da preuzmu lažnu Windows datoteku s prečicama sa web stranice koja se maskira kao biografija.
Prečica, maliciozni softver nazvan VenomLNK, služi kao početni pristupni vektor za ispuštanje More_eggs-a ili TerraLoader-a, koji kasnije djeluje kao kanal za implementaciju različitih modula, naime TerraRecon (za profilisanje žrtava), TerraStealer (za krađu informacija) i TerraCrypt (za iznuda ransomware).
“Paket malcioznog softvera se još uvijek aktivno razvija i prodaje se drugim hakerima”, zaključili su istraživači, pozivajući organizacije da budu u potrazi za potencijalnim pokušajima krađe identiteta.
Izvor: The Hacker News