Правоохранительные органы с участием Интерпола задержали злоумышленника, ответственного за кибератаки с тысячами невольных жертв в течение нескольких лет. Он организовывал атаки вредоносных программ на телекоммуникационные компании, крупные банки и транснациональные корпорации во Франции в рамках глобальной кампании фишинга и мошенничества с кредитными картами.
В результате двухлетнего расследования, названного международной межправительственной организацией «Операция Lyrebird», был арестован гражданин Марокко по прозвищу «Dr HeX», сообщила сегодня компания Group-IB, занимающаяся кибербезопасностью, в отчете, предоставленном изданию The Hacker News.
Dr HeX, как утверждается, «действовал по меньшей мере с 2009 года и несет ответственность за ряд киберпреступлений, включая фишинг, дефейсинг, разработку вредоносных программ, мошенничество и кардинг, в результате которых пострадали тысячи людей» - говорится в сообщении компании по кибербезопасности.
Кибератаки включали в себя развертывание фишингового набора, состоящего из имитирующих банковские учреждения веб-страниц, и последующую массовую рассылку электронных писем, имитирующих целевые компании, в которых получателям писем предлагалось ввести регистрационные данные на мошенническом веб-сайте.
Учетные данные, введенные ничего не подозревающими жертвами на поддельной веб-странице, затем перенаправлялись на электронную почту злоумышленника. Было обнаружено не менее трех различных фишинговых наборов, предположительно разработанных самим хакером.
Фишинговые наборы также «продавались другим лицам через онлайн-форумы, чтобы они могли способствовать проведению аналогичных вредоносных кампаний» - говорится в заявлении Интерпола. «Затем они использовались для выдачи себя за банковские онлайн-учреждения, что позволяло подозреваемому и другим лицам похищать конфиденциальную информацию и обманывать доверчивых людей с целью получения финансовой выгоды, при этом потери отдельных лиц и компаний публиковались в Интернете для рекламы этих вредоносных услуг».
Скрипты, включенные в фишинговый набор, содержали имя «Dr HeX» и контактный адрес электронной почты, по которому кибер-преступник и был в конечном итоге идентифицирован и деанонимизирован. В процессе расследования был обнаружен канал на YouTube, а также другое имя, использованное атакующим для регистрации как минимум двух использованных в атаках мошеннических доменов.
Кроме того, Group-IB сообщила, что ей удалось сопоставить адрес электронной почты с вредоносной инфраструктурой, использовавшейся обвиняемым в различных фишинговых кампаниях. Она включала пять адресов электронной почты, шесть псевдонимов, а также аккаунты в Skype, Facebook, Instagram и YouTube.
В целом Dr Hex оставил следы вредоносной деятельности за период с 2009 по 2018 год, в течение которого он взломал не менее 134 веб-страниц. Также были обнаружены сообщения, созданные злоумышленником на различных подпольных форумах, посвященных торговле вредоносным ПО, и доказательства его участия в атаках на французские корпорации с целью кражи финансовой информации.
«Подозреваемый, в частности, продвигал так называемый Zombi Bot, который якобы содержал 814 эксплойтов, включая 72 приватных, брутфорсер, сканеры webhell и backdoor, а также функционал для проведения DDoS-атак» - рассказал The Hacker News технический директор Group-IB Дмитрий Волков.
Перевод выполнен со статьи: https://thehackernews.com
