vendredi, 29 mars 2024

À la recherche de logiciels malveillants aux bons endroits – Partie 2

Dans la partie 1 de cette histoire, nous avons entendu Joe Stewart et Keegan Keplinger d’eSentire parler de la procédure de localisation des fabricants de l’une des pièces les plus efficaces et les plus discrètes au monde de logiciels malveillants, appelés Golden Chickens.

L’activité de Golden Chickens était particulièrement fascinante pour eSentire, une entreprise internationale de cybersécurité, notamment parce qu’elle était d’un style simple et élégant, mais également parce qu’il a été utilisé dans certaines cyber-attaques massives contre de riches entreprises, assez énormes pour faire onduler la bourse lorsqu’elles ont été frappées. Il a utilisé l’innovation Windows simple et la plate-forme de réseaux sociaux LinkedIn de la manière la plus simple et la plus rationnelle (faux postes vacants avec des descriptions de poste sous forme de doc, faux CV sous forme de doc) pour entrer dans les systèmes d’entreprise ciblés. Et il n’a jamais été utilisé sans discernement – il a été fourni avec un but, avec un ciblage, avec une impitoyable frappe presque chirurgicale. Tout cela s’est combiné pour en faire la cyber-arme d’option pour 3 des gangs les plus puissants au monde de contrevenants à la loi sur le Web, composé d’Evilnum.

À la recherche de logiciels malveillants aux bons endroits – Partie 1

Rechercher des individus derrière Golden Chickens – et en particulier derrière son utilisation en tant que malware-as-a-service — méritait le temps et l’argent d’une entreprise comme eSentire.

L’histoire jusqu’à maintenant

Mais quand nous vous avons quitté, Joe avait en fait suivi le cerveau attendu derrière Golden Chickens, l’utilisateur d’Internet s’occupe de « badbullzvenom », des transcriptions divulguées du chat du forum de hackers, en passant par MySpace, Pinterest, Facebook, les conseils d’achat et de vente locaux à Montréal, Canada, à une image de la réalité du faux -nom qui était « Chuck de Montréal. »

Chuck de Montréal était aussi le plus susceptible d’être badbullzvenom. Il était un fan de pit-bulls anglais – oui, malheureusement, c’est de là que venait le « bullz » de sa gestion Web. Il était fan de la BMW Série 5. Et maintenant, le système de réaction au risque (TRU) d’eSentire a compris où il travaillait, où il vivait et à quoi il ressemblait.

Si vous pensiez que tout était fini, sauf l’équipe SWAT, vous auriez été insatisfait. L’histoire de Golden Chickens était loin d’être terminée. Joe reprend l’histoire.

Joe Stewart : Nous avions donc la photo de « Chuck de Montréal », et tandis que le visage est pixélisé, vous pouvez avoir une idée de la personne . Il a l’air plutôt content, vous savez, il a son gros cigare à la main, il est assis sur la plage, il vit sa vie, et il propose toutes sortes de cartes de crédit canadiennes, et d’autres choses sur le marché noir.

Le Parti de la 2ème partie

Et ce que nous avons déterminé à propos de cette personne, c’est qu’en rassemblant toutes les informations dont nous disposons sur son lieu de travail, ce qu’il fait, avoir une idée de son niveau de capacité. Et après cela, nous reconnaissons… Cette personne n’est probablement pas un codeur. Il n’a probablement pas les compétences nécessaires pour établir le véritable logiciel malveillant. Il est impliqué d’une manière ou d’une autre, soit en encaissant les cartes de crédit volées obtenues grâce au plan, soit il est simplement un autre type de partenaire fournissant une sorte de service.

Cependant, il doit y avoir quelqu’un d’autre inclus ici. Et en fait, en revenant et en revoyant ses messages sur les forums de hackers, nous voyons plusieurs points sur le fait qu’il partage ce compte avec un partenaire.

Nouveau Traduire Cryptomining Malware Découverte

Et en entrant dans d’autres discussions, nous avons non seulement trouvé ce partenaire, mais nous avons également découvert des choses à leur sujet. Dans de nombreux fils de discussion, ils déclarent parler anglais, français et roumain, mais admettent qu’ils ne maîtrisent pas très bien le russe. Chuck de Montréal, ce n’est pas le cas. À un moment donné, ils prétendent même être originaires de Moldavie. Nous ne sommes pas particulièrement encouragés par cela, en raison de leur utilisation de la langue roumaine, mais il est important de comprendre ce que nous avons à ce stade. Nous avons Chuck-qui-n’est-pas-Chuck, mais qui reste à Montréal, cédant peut-être la vente des profits des escrocs — cartes de crédit et autres objets, peut-être obtenus illégalement. Et puis il y a le joueur 2, le développeur, probablement en Roumanie, tous deux utilisant le même compte et le même nom d’utilisateur : badbullzvenom à de nombreux endroits sur les forums de hackers en ligne.

THQ : Une gestalt criminelle en ligne.

Joe Stewart : Oui, je précise, en 2015, lorsque le tout premier rapport est sorti, vous savez, ils avaient signalé badbullzvenom en eux, et beaucoup de ces forums en ligne de pirates sont toujours en ligne, et vous pouvez les rechercher et voir ces messages. Cependant, lorsque nous sommes revenus pour le faire, et en 2022, la plupart de ces personnes et la majorité de ces postes avaient disparu. Nous devions nous appuyer sur les archives d’autres personnes qu’ils avaient heureusement conservées, ou simplement sur les quelques forums en ligne de hackers encore en vie qui avaient des messages à leur sujet.

Mutiny and the Bounty

Joe Stewart : Et après cela, il y a eu la prime de 200 000 $ sur sa tête.

THQ : Le…

Joe Stewart : sur un forum en ligne, quelqu’un a offert une prime de 200 000 $ à « la tête » de bullzbadvenom. partenaire, ou quoi que ce soit. Quelqu’un n’était pas satisfait de « lui », de toute façon – ils ont mis sa tête à prix.

THQ : Cela s’est concrétisé en un clin d’œil. Parlons-nous de sa tête « métaphorique » – comme dans les détails sur sa véritable identité, ou… sa vraie tête ?

Joe Stewart : Le fait est que, dans de nombreux cas, vous pourriez avoir un forum de hackers local— disons un pour la Roumanie. Étant un pays plus petit, la majorité de la population étant probablement rassemblée à Bucarest ou dans de grandes villes comparables, certains de ces gars se comprennent probablement dans la vraie vie et traînent probablement dans la vraie vie. Les gens voudront peut-être toucher cette prime de 200 000 $ s’ils savent vraiment qui il est.

THQ : la question est de savoir si l’affiche de la prime ergotera. Après tout, badbullzvenom c’est 2 individus, et nous comprenons qui parmi eux est…

Joe Stewart : Tempting. Nous pourrions acheter beaucoup plus de fils avec cette prime. Mais nous devons en savoir plus. Il y aura plus sur cette histoire au fur et à mesure qu’elle s’établira – nous avons en fait trouvé des fils de discussion très intrigants et différents sur la moitié roumaine de badbullzvenom, la moitié que notre société pense être absolument le codeur derrière le malware. Il y aura donc plus à dire en temps voulu…

Microsoft transforme une double bascule sur les macros de logiciels malveillants

THQ : Mais pour l’instant nous avons des yeux sur Chuck à Montréal, vraisemblablement en coopération avec les forces de l’ordre régionales, et la seconde moitié du puzzle est en cours en Roumanie ? Maintenant que vous le rendez public, existe-t-il un risque que la moitié roumaine soit surprise de devenir totalement sombre ?

Keegan Keplinger : Je veux dire, il n’y a que beaucoup de choses que vous pouvez faire à ce stade. Je veux dire, nous avons découvert tellement de choses sur lui, et vous savez, que ce n’est qu’une question de temps, vraiment, avant que nous prenions le chemin actuel ? Nous avons toutes ces archives sur ces forums de hackers et tous ces messages, donc, bien sûr, il pourrait essayer de s’enfuir, mais je veux dire, où va-t-il ? S’asseoir en Roumanie est très probablement très sûr, s’il est là-bas, ou en Moldavie ou quelque part comme ça. Je veux dire, vous n’entendez pas beaucoup d’arrestations par la police canadienne ou américaine dans ces régions. Il peut donc se sentir assez en sécurité comme ça.

THQ : En attendant. Voici la partie 3 de l’histoire – une fois que tout est prêt.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici