Как-то мы уже были свидетелями того, как логи инфостиллеров помогали выйти на самих злоумышленников, но оказывается могут быть задействованы и по другим направлениям.

Новый подход успешно, как заявляется, обкатали исследователи Insikt Group из Recorded Future, которые в своем отчете рассказали, как им удалось вычислить 3324 уникальных аккаунта, связанных с распространением CSAM (сексуальное насилие над детьми).

Поскольку этот тип вредоносного ПО обычно распространяется через пиратское ПО, вредоносную рекламу и фейковые обновления, стиллеры могут в течение длительного времени красть данные из зараженных систем, причем жертва даже не подозревает об этом.

К ним в числе прочих относятся и пользователи CSAM, которые раскрывают все креды своих счетов, электронную почту и другие личные данные, включая и учетные данные, используемые для доступа к CSAM-ресурсам с регистрацией.

Используя другие украденные у цели данные, аналитики Insikt могли отследить учетные записи по именам пользователей на различных платформах, получить их IP-адреса и в некоторых случаях системную информацию.

Insikt использовала логи, собранные с февраля 2021 года по февраль 2024 года, для идентификации CSAM путем сопоставления украденных учетных данных с двадцатью известными доменами CSAM.

После чего сопоставили реквизиты с собственными OSINT-массивами.

Как правило, украденные с помощью стиллеров учетные данные задействуется для взлома других аккаунтов, проведения целевых атак или продажи их в даркнете другим заинтересованным хакерам.

Собранные же Insikt сведения, добытые с Redline, Raccoon и Vidar через даркнет, ушли в ином направлении, а именно переданы силовикам для оперативной разработки и привлечения к ответственности.

Метод хорош, конечно, однако конкретные источники получения логов исследователи не приводят, что наводит на мысли о возможной легализации представленных данных.

Впрочем, вестник вашингтонского обкома особо никогда не скрывал своей аффилированности.

Исследователи F.A.C.C.T. проследили активность группировки VasyGrek (она же Fluffy Wolf по метрике BI.ZONE), нацеленной на российские компании как минимум с 2016 года, обнаружив тесную связь с разработчиком вредоносного ПО Mr.Burns.

Как выяснили исследователи, в погоне за аккаунтами ДБО злоумышленники задействуют коммерческие инфостилеры и RAT, в том числе и шедевры вирусописателя Mr.Burns.

Новое исследование раскрывают «деловые» контакты VasyGrek с продавцом вредоносных версий инструментов удаленного администрирования TeamViewer и RMS (Remote Utilities), которым F.A.C.C.T. присвоили общее наименование BurnsRAT.

Кроме того, также была установлена личность того самого Mr.Burns., русскоязычного завсегдатая даркнета, которым оказался некий Андрей Р. 1986 года из Тернополя.

Помимо прочего в арсенале VasyGrek обнаружены и другие вредоносные инструменты с черного рынка: программы разработки PureCoder (PureCrypter, PureLogs и т.д.s), MetaStealer, WarzoneRAT (AveMaria), а также стилер RedLine.

Все атаки злоумышленников начинаются с фишингового письма от имени бухгалтерии сторонней компании с просьбой завизировать акт сверки, платежное поручение, документ 1C.

К сообщению прилагается вредоносный архивный файл (или же указывается ссылкой), который содержит является загрузчик PureCrypter.

Цепочки заражения могут различаться и для каждого модуля предусмотрен свой PureCrypter.

На финальном этапе в систему доставляется BurnsRAT, который реализует по методу подмены DLL.

Примечательно, что все дополнительные модули используют один и тот же C2, но каждый инструмент подключается по своему порту.

После установки BurnsRAT на зараженное устройство отправляются команды вида cmdv start {URL} - для отображения в браузере поддельных страниц входа в банковские сервисы.

Технические и не только подробности, включая IoC — в отчете.

Правда, одному из первых его читателей, Каталину Чимпану, совсем не зашло про Андрея из Тернополя.

По всей видимости, этот румын порвался, так что несите следующего.