Yaklaşık dokuz yıl önce KrebsOnSecurity, Pakistan merkezli bir siber suç grubunun profilini çıkardı: “ManipülatörlerKimlik avı ve spam dağıtım platformlarından oluşan genişleyen bir web barındırma ağı. Ocak 2024'te The Manipulators, grubun yeni bir sayfa açtığını ve meşrulaştığını iddia ederek bu yazara çalışmalarıyla ilgili önceki hikayeleri yayınlaması için yalvardı. Ancak yeni araştırmalar, ürün ve hizmetlerinin kalitesini artırmış olsalar da bu aptalların yasa dışı faaliyetlerini gizleme konusunda hâlâ olağanüstü derecede başarısız olduklarını gösteriyor.
Mayıs 2015'te KrebsOnSecurity, küstah Manipulators ekibi hakkında kısa bir yazı yayınladı ve bu ekibin, insanları kullanıcı adlarını ve şifrelerini vermeleri veya bilgisayarlarına kötü amaçlı yazılım dağıtmaları için kandırmak üzere tasarlanmış araçlar satan yüzlerce web sitesini açıkça işlettiklerini belirtti.
Heartsender,com alan adında satılan “Antibotlu Office 365 Özel Sayfası” kimlik avı kitinin manipülatör reklamı. “Antibot”, otomatik tespit tekniklerinden kaçmaya çalışan ve kimlik avını mümkün olduğu kadar uzun süre konuşlandırılmış halde tutan işlevselliği ifade eder. Resim: Etki Alanı Araçları.
The Manipulators'ın ana markası uzun süredir ortak bir siber suçlu kimliğidir: “Saim RızaGeçtiğimiz on yıl boyunca çeşitli şekillerde “Fudtools“”Geçiş sayfası“”Ayak vericisi“”FudCo,” vb. Bu isimlerdeki “FUD” terimi “Fkesinlikle senN-Dtespit edilebilir” ve antivirüs yazılımı veya anti-spam cihazları gibi güvenlik araçlarının tespitinden kaçacak siber suç kaynaklarını ifade eder.
The Manipulators'da Eylül 2021'de yayınlanan bir haberde, Saim Raza ve şirketinin, paravan bir şirketten gizlice yönettikleri FudCo markaları altında başarılı oldukları ortaya çıktı. Çözümleri Kodluyoruz.
Bu parça, bilinen tüm Saim Raza e-posta adreslerinden geriye doğru çalışarak birden fazla We Code Solutions çalışanının Facebook profillerini tespit etmeye çalışıyordu; bu çalışanların çoğu, üzeri kremayla boyanmış “FudCo” yazan dev bir pastanın etrafında toplanmış şirket yıldönümlerini kutlarken görülebiliyordu.
Bu hikayenin yayınlanmasından bu yana KrebsOnSecurity, bu Saim Raza kimliğinden iki kez haber aldı. İlki, Eylül 2021'deki haberi takip eden haftalarda, Saim Raza'nın bilinen e-posta adreslerinden birinin: [email protected] – hikayenin kaldırılması için yalvardı.
Saim Raza kimliği, “Merhaba, bu fud'u zaten seneden önce bıraktık” diye yazdı. “Neden bizi gönderiyorsun? Neden hayatlarımızı mahvediyorsun? Asla kimseye zarar vermeyiz. Lütfen kaldırın.”
Bir kimlik avı çetesi tarafından yönlendirilmek istemeyen KrebsOnSecurity, bu ricaları görmezden geldi. Ancak 14 Ocak 2024'te KrebsOnSecurity aynı [email protected] adresinden hiçbir şey söylemeden haber aldı.
Sam Raza, 2021 profiline bağlantı vererek “Lütfen bu makaleyi kaldırın” diye yazdı. “Lütfen benim hakkımda zaten polis sicil kaydım olsun. Zaten her şeyi bıraktım.”
Polis soruşturması hakkında ayrıntılı bilgi vermesi istenen Saim Raza, hapisten yeni çıktığını söyledi.
Cevap, “Birçok gün oradaydım” diye açıkladı. “Şimdi kefaletle serbest bırakıldıktan sonra geri dönelim. Artık yeni işime başlamak istiyorum.”
Saim Raza bu “yeni çalışmanın” tam olarak neleri içerebileceğini söylemiyor. Ancak araştırmacılardan yeni bir rapor DomainTools.com The Manipulators'la ilişkili birkaç bilgisayarın, uzun süredir kötü amaçlı veri ve şifre hırsızlığı yapan kötü amaçlı yazılımlar tarafından büyük ölçüde saldırıya uğradığını tespit etti.
DomainTools, Manipulators bilgisayarlarına bulaşan kötü amaçlı yazılımların, “hesapla ilgili çok sayıda verinin yanı sıra grubun üyeliği, operasyonları ve daha geniş yeraltı ekonomisindeki konumunun ana hatlarını” ortaya çıkardığını söylüyor.
DomainTools, “İlginç bir şekilde, belirlenen Manipulators müşterilerinin büyük bir alt kümesinin aynı hırsız kötü amaçlı yazılım tarafından tehlikeye atıldığı görülüyor” diye yazdı. “Müşterilere yönelik gözlemlenen tüm kötü amaçlı yazılım bulaşmaları, Manipulators bilgisayarlarının ilk kez ele geçirilmesinden sonra başladı ve bu da bu enfeksiyonların kaynağına ilişkin bir dizi soruyu gündeme getiriyor.”
Aslında bir takım sorular var. Bugünlerde Manipulators'ın temel ürünü, adı verilen bir spam dağıtım hizmetidir. Kalp GönderenAna sayfasında çeşitli İnternet şirketlerinin kullanıcılarını hedef alan kimlik avı kitlerinin açıkça reklamını yapan , Microsoft 365, yahoo, AOL, Sezgi, iCloud'da Ve ID.mebirkaç isim.
HeartSender 4'ün ana sayfasının ekran görüntüsünde [email protected]'a bağlı bir IP adresi görüntülenir. Resim: Etki Alanı Araçları.
HeartSender müşterileri, web sitesi aracılığıyla abonelik hizmetiyle etkileşime girebilir, ancak HeartSender'ı bir Windows çalıştırılabilir programı olarak indirirseniz, ürün çok daha etkili ve kullanıcı dostu görünmektedir. HeartSender programının bir şekilde tehlikeye girip girmediği ve hizmetin müşterilerine virüs bulaştırmak için kullanılıp kullanılmadığı bilinmiyor.
Ancak DomainTools, HeartSender hizmetinin barındırılan sürümünün, muhtemelen herkesin erişimine açık olması amaçlanmayan olağanüstü miktarda kullanıcı bilgisi sızdırdığını da tespit etti. Görünen o ki, HeartSender web arayüzünde kimliği doğrulanmamış kullanıcıların erişebildiği, müşteri kimlik bilgilerinin yanı sıra destek taleplerini HeartSender geliştiricilerine açık eden çeşitli web sayfaları bulunuyor.
DomainTools, “İronik bir şekilde, Manipülatörler kendi müşterileri için kolluk kuvvetlerinden daha fazla kısa vadeli risk oluşturabilir” diye yazdı. “Veri tablosu “Kullanıcı Geri Bildirimleri” (sic), müşteri kimlik doğrulama belirteçlerini, kullanıcı tanımlayıcılarını ve hatta kök düzeyindeki SMTP kimlik bilgilerini açığa çıkaran bir müşteri destek isteği gibi görünen şeyleri açığa çıkarır; bunların tümü, Manipulators tarafından kontrol edilen bir etki alanında kimliği doğrulanmamış bir kullanıcı tarafından görülebilir. Kötüye kullanım riski göz önüne alındığında bu alan adı yayınlanmayacaktır.”
Bu, Manipülatörlerin kendilerini ayaklarından vurduğu ilk olay değil. 2019 yılında Manipülatörler çekirdek alan adlarını yenileyemedi — manipüle ediciler[.]com — aynı şey şirketin geçmiş ve mevcut iş operasyonlarının çoğuyla da bağlantılı. Bu alan adı, siber suçluları gerçek hayattaki kimliklerine bağlama konusunda uzmanlaşmış bir siber istihbarat firması olan Scylla Intel tarafından hızla ele geçirildi.
Şu anda The Manipulators, spam ve e-postadan SMS'e spam gönderme hizmetlerinde uzmanlaşmış HeartSender'ı oluşturmaya ve desteklemeye odaklanmış görünüyor.
DomainTools, “Manipülatörlerin e-postadan SMS'e spam'e olan yeni ilgisi, USPS'yi taklit eden smishing faaliyetlerindeki büyük artışa yanıt olabilir” diye yazdı. “HeartSender'ın Telegram kanalında yayınlanan kanıtlar, USPS temalı kimlik avı tuzaklarının teslim edildiğinin ve bir USPS kimlik avı kitinin satışının kanıtlanması da dahil olmak üzere, posta hizmeti kimliğine bürünmeyle ilgili çok sayıda referans içeriyor.”
E-posta yoluyla ulaşılan Saim Raza kimliği, DomainTools bulguları hakkındaki sorulara yanıt vermeyi reddetti.
“Birinci [of] Raza, “Asla virüs veya güvenliği ihlal edilmiş bilgisayar vb. üzerinde çalışmıyoruz” diye yanıtladı. “Eğer o kadar sahte yazmak istiyorsan devam et. İkincisi, ülkeyi çoktan terk ediyorum. Birisi herhangi bir şeyi exe dosyasıyla bağlayıp internete yayarsa bu benim hatam değil.”
Pakistan'ı neden terk ettikleri sorulduğunda Saim Raza, oradaki yetkililerin sadece onları sarsmak istediğini söyledi.
“Yazınızdan sonra polisimiz telefonuma FIR koydu. [identity]Saim Raza açıkladı. Bu durumda “FIR”, Pakistan ceza adaleti sistemindeki ilk şikayet olan “İlk Bilgi Raporu” anlamına gelir.
Saim Raza, “Benden sadece para alıyorlar, başka bir şey değil” diye devam etti. “Şimdi bazı memurlar yine para istiyor. Kardeşim, Pakistan'da iyi bir kanun yok, sadece paraya ihtiyaçları var.”
Saim Raza'nın gerçeklere karşı güvenilmez bir geçmişi var, dolayısıyla Manipülatörler ve/veya liderlerinin gerçekten Pakistan'dan kaçıp kaçmadığını kim bilebilir (bu daha çok yurt dışında uzun bir tatil olabilir). Şansınız yaver giderse, bu adamlar yakında daha Batı dostu, “iyi hukuk”lu bir ülkeye adım atacak ve yerel yetkililer tarafından sıcak bir şekilde karşılanacaklar.