I truffatori compromessi dal loro malware smascherano un'operazione da 4,67 milioni di dollari

CloudSEK ha scoperto una rete di criminalità informatica familiare con sede in Pakistan che diffondeva informazioni rubate tramite software pirata, fruttando 4,67 milioni di dollari e facendo milioni di vittime. I segreti dell'operazione sono stati svelati quando i truffatori stessi sono stati compromessi.

La società di intelligence sulla sicurezza informatica CloudSEK ha scoperto una sofisticata operazione di criminalità informatica multimilionaria a conduzione familiare con sede in Pakistan. L'indagine del team TRIAD di CloudSEK ha rivelato un'organizzazione criminale attiva da almeno cinque anni.

A quanto pare, la strategia principale del gruppo era quella di sfruttare gli utenti alla ricerca di software pirata gratuito. Utilizzavano tecniche di SEO poisoning e spam nei forum per pubblicare link su community online e motori di ricerca legittimi che conducevano a siti web dannosi.

Ecco un esempio dal forum ufficiale della community di HONOR UK: un post intitolato "Adobe After Effects Crack Free Download Full Version 2024" è stato utilizzato come esca.

E un altro:

Questi siti inducevano gli utenti a scaricare software craccati molto diffusi come Adobe After Effects, ma in realtà installavano pericolosi malware infostealer, tra cui ceppi come Lumma , AMOS e Meta. Rubavano anche dati personali, dalle password alle informazioni del browser, fino ai dettagli del portafoglio di criptovalute.

La portata dell'operazione è enorme. Il rapporto rivela che la rete ha generato oltre 449 milioni di clic e più di 1,88 milioni di installazioni di malware. Questo immenso volume ha generato un fatturato stimato di almeno 4,67 milioni di dollari nel corso dell'intera vita utile. CloudSEK stima che la rete possa aver colpito oltre 10 milioni di vittime a livello globale, poiché i dati rubati sono stati venduti a circa 0,47 dollari per credenziale.

L'indagine spiega anche la struttura interna del gruppo, basata su due reti Pay-Per-Install (PPI) interconnesse: InstallBank e SpaxMedia/Installstera. Questi sistemi gestivano una vasta rete di 5.239 affiliati, che venivano pagati per ogni installazione di malware andata a buon fine.

Inoltre, CloudSEK ha scoperto che, sebbene gli operatori avessero sede a Bahawalpur e Faisalabad, in Pakistan, le loro vittime si trovavano in tutto il mondo. Un risultato chiave è stato l'utilizzo da parte degli operatori di servizi finanziari tradizionali come Payoneer per i pagamenti, una mossa rara per un gruppo di questa natura. Inoltre, gli operatori condividevano lo stesso cognome, il che suggerisce che l'organizzazione criminale fosse un'iniziativa multigenerazionale.

Una svolta decisiva nelle indagini è avvenuta per caso. Ironicamente, gli operatori sono stati infettati dal loro stesso malware, che ha permesso al team di CloudSEK di accedere ai loro log privati .

Questi registri contenevano una quantità enorme di informazioni, tra cui registri finanziari, comunicazioni interne e credenziali di amministratore, che fornivano le prove dettagliate necessarie per smascherare l'intera rete.

"La svolta nelle indagini è arrivata ironicamente: gli stessi autori della minaccia sono stati compromessi dal malware infostealer. I log esfiltrati dai loro stessi computer hanno fornito informazioni senza precedenti sulle loro identità, sulla struttura di comando, sull'infrastruttura, sulle comunicazioni e sulle finanze, portando infine al loro smascheramento."

“Quattro operatori principali, M** H, MS, ZI e NI/H/A* insieme a S* H***, sono identificati come figure chiave in questa rete multiattore.”

CloudSEK

Il rapporto prosegue illustrando come questi gruppi utilizzino tattiche di marketing quotidiane e persino servizi finanziari legittimi per svolgere le loro attività illegali alla luce del sole. Pertanto, la consapevolezza degli utenti è fondamentale. Si raccomanda di evitare di scaricare software craccato , poiché rimane una via facilmente sfruttabile dai criminali informatici.