CloudSek, Infostealers’ı korsan yazılım aracılığıyla yayan, 4,67 milyon dolar ve milyonlarca kurbanı netleştiren Pakistan merkezli bir aile siber suç ağını ortaya çıkardı. Operasyonun sırları, dolandırıcıların kendileri tehlikeye girdiğinde ortaya çıktı.
Siber güvenlik istihbarat firması Cloudsek, Pakistan merkezli sofistike, aile tarafından işletilen multi milyon dolarlık bir siber suç operasyonunu ortaya çıkardı. CloudSek’in Triad ekibinin soruşturması, en az beş yıldır aktif olan bir sendikayı ortaya çıkardı.
Bildirildiğine göre, grubun birincil stratejisi ücretsiz, korsan yazılım arayan insanlardan yararlanmaktı. Meşru çevrimiçi topluluklara ve kötü amaçlı web sitelerine yol açan arama motorlarına bağlantılar yayınlamak için SEO zehirlenmesi ve forum spam kullandılar.
İşte Resmi Honor İngiltere Topluluk Forumu’ndan bir örnek, “Adobe After Effects Crack Free Download Full Version 2024” başlıklı bir yazı bir cazibe olarak kullanıldı.
Ve bir diğeri:
Bu siteler, kullanıcıları Adobe After Effects gibi popüler çatlak yazılımları indirmeye kandırdı, ancak gerçekte Lumma, Amos ve Meta gibi suşlar da dahil olmak üzere tehlikeli Infostealer kötü amaçlı yazılımlar kuruyorlardı. Ayrıca, şifrelerden ve tarayıcı bilgilerinden kripto para birimi cüzdanı ayrıntılarına kadar kişisel verileri de çaldı.
4.67 milyon dolar gelir
Operasyonun ölçeği büyük. Raporda, ağın 449 milyondan fazla tıklama ve 1.88 milyondan fazla kötü amaçlı yazılım yüklemesi oluşturduğunu ortaya koyuyor. Bu muazzam hacim, en az 4.67 milyon dolarlık tahmini ömür boyu gelir getirdi. CloudSek, çalınan veriler kimlik bilgisi başına yaklaşık 0,47 $ karşılığında satıldığı için ağın küresel olarak 10 milyondan fazla mağduru etkileyebileceğini tahmin ediyor.
Soruşturma ayrıca grubun birbirine bağlı iki çalışma başına ödeme (PPI) ağına dayanan iç yapısını açıklıyor: InstallBank ve Spaxmedia/Installstera. Bu sistemler, her başarılı kötü amaçlı yazılım kurulumu için ödenen 5.239 bağlı kuruluştan oluşan geniş bir ağı yönetti.
Dahası, Cloudsek, operatörlerin Pakistan’ın Bahawalpur ve Faisalabad’da bulunduğunda kurbanlarının dünya çapında bulunduğunu tespit etti. Önemli bir bulgu, operatörlerin ödemeler için Payoneer gibi geleneksel finansal hizmetleri kullanmasıydı, bu da bu nitelikteki bir grup için nadir bir hamle. Ayrıca, operatörler aynı soyadını paylaştı ve ceza girişiminin çok kuşaklı bir çaba olduğunu gösteriyor.
Kendi kötü amaçlı yazılımları tarafından yakalanan bilgisayar korsanları
Soruşturmada kritik bir dönüm noktası şans eseri oldu. Operatörler, CloudSek ekibinin özel günlüklerine erişmesine izin veren kendi kötü amaçlı yazılımları tarafından ironik bir şekilde enfekte oldular.
Bu günlükler, tüm ağı ortaya çıkarmak için gereken ayrıntılı kanıtları sağlayan finansal kayıtlar, dahili iletişim ve yönetici kimlik bilgileri de dahil olmak üzere bir dizi bilgi içeriyordu.
“Soruşturmadaki atılım ironik bir şekilde geldi: tehdit aktörlerinin kendileri Infostealer kötü amaçlı yazılımlar tarafından tehlikeye atıldı. Kendi makinelerinden sönmüş günlükler, kimlikleri, komuta yapıları, altyapı, iletişim ve finanslar hakkında eşi görülmemiş bir fikir verdi ve sonuçta maskemelerine yol açtı.”
“S* H *** ile birlikte M ** H, MS, ZI ve NI/H/A* ile birlikte dört ana operatör bu çoklu aktif ağında anahtar rakamlar olarak tanımlanmıştır.”
Bulut
Rapor, bu grupların yasadışı faaliyetlerini açık görüşte gerçekleştirmek için günlük pazarlama taktiklerini ve hatta meşru finansal hizmetleri nasıl kullandığını gösteriyor. Bu nedenle, kullanıcı farkındalığı çok önemlidir. Siber suçlular için kolayca kullanılabilen bir cadde olarak kaldığı için lütfen çatlak yazılımı indirmekten kaçının.