El FBI y las autoridades en los Países Bajos han incautado docenas de servidores y áreas para un servicio de difusión de spam y un software malicioso extremadamente popular que opera desde Pakistán. Propietarios de servicios, que usan el apodo colectivo “Manipuladores“, Son objeto de tres historias publicadas aquí desde 2015. El FBI dijo que la clientela principal era grupos de delitos organizados que intentan engañar a las empresas de las víctimas para hacer pagos a un tercero.
Uno de los muchos sitios actuales de Fudtools administrados por directores manipuladores.
El 29 de enero, el FBI y la Policía Nacional Holandesa confiscaron la infraestructura técnica para un servicio de delito cibernético comercializado bajo las marcas Victoria, Fidgeo Y Fudtools (y muchas otras variaciones “FUD”). El bit “FUD” significa “totalmente no detectable” y se refiere a los recursos de delitos cibernéticos que escaparán de la detección de herramientas de seguridad como el software antivirus o los dispositivos anti-spam.
Autoridades holandesas dicho Se incautaron 39 servidores y dominios en el extranjero y que los servidores contenían millones de archivos de víctimas en todo el mundo, incluidos al menos 100,000 archivos relacionados con ciudadanos holandeses.
A declaración de Departamento de Justicia estadounidense se refiere al grupo de delitos cibernéticos como Saim RazaDespués de un seudónimo, los manipuladores utilizaron la comunidad para promover sus servicios de software de spam, malware y phishing en las redes sociales.
“Los sitios web dirigidos por Saim Raza trabajaron como mercados que han anunciado y facilitado la venta de herramientas como kits de phishing, páginas de estafas y extractores de correo electrónico a menudo utilizados para construir y mantener operaciones de fraude”, explicó el DOJ.
El producto manipulador básico es VictoriaUn servicio de entrega de spam cuya página de inicio ha anunciado abiertamente kits de phishing dirigidos a usuarios de varias compañías de Internet, incluidas Microsoft 365, Yahoo, AOL, Intuidad, icloud Y Id.mePor nombrar solo unos pocos.
El gobierno afirma que los grupos de delitos organizados transnacionales que compraron estos servicios los usaron principalmente para administrar el compromiso de los programas de correo electrónico (BEC), en los que los jugadores de delitos cibernéticos han llevado a las víctimas a hacer pagos a un tercero.
“Estos pagos preferirían ser redirigidos a una cuenta financiera controlada por los autores, causando pérdidas significativas para las víctimas”, escribió el MJ. “Estas herramientas también se han utilizado para adquirir información para identificar a las víctimas y utilizar esta información de identificación para continuar con estas dietas fraudulentas. La incautación de estas áreas tiene como objetivo interrumpir la actividad continua de estos grupos y detener la proliferación de estas herramientas dentro de la comunidad cibercriminal. »»
Manipuladores que anuncia la página “Página Oficiales privados 365 con antibot” kit de phishing vendido a través de Heartsender. “Antibot” se refiere a las características que intentan escapar de las técnicas de detección automatizadas, manteniendo un PHISH desplegado y accesible el mayor tiempo posible. Imagen: Domaintpoils.
KrebssonsCurity escribió por primera vez en manipuladores en mayo de 2015, principalmente porque sus anuncios en ese momento recurrieron a una serie de foros populares del delito cibernético, y porque eran bastante abiertos y descarados sobre lo que hicieron, incluso en quiénes eran en la vida real.
Conocimos a los manipuladores nuevamente en 2021, con una historia que descubrió que los empleados básicos habían lanzado una compañía de codificación web en Lahore llamado Wecodesolutions – Probablemente como un medio para contabilizar su considerable ingreso de concientización. Esta pieza examinó cómo todos éramos todos Fudco Escrito en glaseado.
El año pasado, una historia de seguimiento en los manipuladores provocó mensajes de varios empleados de Wecodesolutions que suplicaron esta publicación que eliminaran historias sobre ellos. La identidad de Saim Raza le dijo a Krebssurity que recientemente habían sido liberados de la prisión después de ser arrestados y acusados por la policía local, aunque se negaron a desarrollar las acusaciones.
Los manipuladores nunca parecían preocuparse por proteger sus propias identidades, por lo que no es sorprendente que no puedan o no quisieran proteger a sus propios clientes. En un análisis Lanzado el año pasado, Domainohs.com Descubrí que la versión web de Heartsender ha revelado una cantidad extraordinaria de información del usuario a usuarios no autenticados, incluida la información de identificación del cliente y las grabaciones de mensajería de empleados de Meartsend.
Casi todos los años desde su fundación, los manipuladores han publicado una foto de un pastel de Fudco de una fiesta de negocios que celebra su cumpleaños.
Domaineols también reveló evidencia de que las computadoras utilizadas por los manipuladores estaban infectadas con el mismo malware para el robo de contraseñas, y que muchos números de identificación han sido robados del grupo y se vendieron en línea.
“Irónicamente, los manipuladores pueden crear más riesgos a corto plazo para sus propios clientes que para la policía”, escribió Domainteols. La Tabla de datos de “Comentarios de los usuarios” (SIC) expone lo que parece ser tokens de autenticación del cliente, identificadores de usuarios e incluso una solicitud de atención al cliente que expone la información de identificación SMTP al nivel de Racine, todo visible por un usuario no autenticado en un campo controlado por manipuladores. “
Los Países Bajos dijeron que la investigación sobre los propietarios y clientes de servicios estaba en marcha.
“El equipo de delitos cibernéticos está en el camino de varios compradores de herramientas”, dijo la Policía Nacional Holandesa. “Presumiblemente, estos compradores también incluyen nacionales holandeses. La encuesta sobre fabricantes y compradores de este software de phishing aún no se ha completado con la incautación de servidores y dominios. »»
Las autoridades estadounidenses también se han unido a la policía en Australia, Francia, Grecia, Italia, Rumania y España para confiscar un cierto número de áreas para varios foros y servicios de cibercrimen desde hace mucho tiempo, en particular, entendió Grieta Y Nulo. De acuerdo a una declaración de la agencia de policía europea EuropolLas dos comunidades atrajeron a más de 10 millones de usuarios en total.
Otras áreas incautadas como parte de “Talento de la operación“Entender SellixUna plataforma de comercio electrónico que fue utilizada con frecuencia por miembros del Foro de Crimen Cibercrimen para comprar y vender bienes y servicios ilícitos.