Sophos - Мошенники против мошенников. Часть 3.

3 марта 2023 г. 10:46
 664

Расскажем о конкретной афере, которую мы обнаружили в ходе нашего исследования.

Теневая экономика - не просто любопытное явление. Это процветающий бизнес, а также возможности для ИБ-специалистов. В третьей части нашей серии мы рассмотрим любопытные кейсы двадцати поддельных торговых площадок.

Автор: Мэтт Викси

 

В первой главе этой серии мы представили обзор скрытой субэкономики мошенников, которые обманывают мошенников, а во второй рассмотрели широкий спектр мошенничества и уловок в нем.

Третья глава немного отличается. В ней рассказывается о конкретной афере, которую мы обнаружили в ходе нашего исследования, и которую мы выделяем из-за ее масштабов, уровня координации и очевидного успеха.

Любопытные кейсы двадцати поддельных торговых площадок.

Во время исследования Genesis Market мы обнаружили сайт в сети (genesismarket[.]org), который был совершенно не похож на настоящий сайт Genesis Market, но часто появлялся в результатах поисковых систем.

 

Рис.1: Поддельный сайт Genesis Market.

 

Мы быстро определили, что этот сайт не имеет отношения к настоящему Genesis Market. Во-первых, сайт требует депозит в размере 100 долларов США, в то время как настоящий Genesis Market работает только по приглашениям.

 

Рис. 2: Требование внести депозит на поддельном сайте Genesis.

 

Сайт просит пользователей заплатить в биткоинах или монеро:

 

Рис. 3: Страница депозита поддельного сайта.

 

Это, а также некоторые другие элементы (например, кнопка «забыл пароль», которая никуда не перенаправляет, и некоторые фальсифицированные «сообщения» на форуме) заставили нас предположить, что это грубая, не требующая больших усилий, одноразовая афера, созданная для того, чтобы воспользоваться неопытными исследователями, потенциальными злдоумышленниками и просто любопытными.

 

Рис. 4: Некоторые из примитивных поддельных сообщений на форуме.

 

Но три вещи вызвали наше любопытство.

Первая заключалась в том, что луковая ссылка на главной странице ведет не на onion-сайт, а на genesismarket[.]org/benumbiernqlud55izbw4mdubush4zhzpg4rw3c2j6ew3ggpzbb7gdqd[.]onion. Benumb - это сайт кардинга, и мы подумали, не запустил ли кто-то с этой площадки мошенническую кампанию и не ошибся ли в ссылке.

Второй момент заключался в том, что кнопка «Копировать адрес» на странице депозита запускает JavaScript, который копирует в буфер обмена другой биткойн-адрес:

 

Рис. 5: Нажатие на кнопку «Копировать адрес» приводит к копированию другого адреса в буфер обмена.

 

И третье - кто-то активно рекламировал этот сайт на Reddit, что говорит о том, что мошенничество может быть более скоординированным, чем мы думали сначала:

 

Рис. 6: Удаленный пост на Reddit, рекламирующий поддельный сайт.

 

Мы перешли по ссылке «Benumb» и обнаружили сайт, созданный точно таким же образом, с тем же требованием 100 долларов (хотя и с другими адресами Bitcoin и Monero):

 

Рис. 7: Страница поддельного Benumb с ироничным фишинговым предупреждением.

 

Рис. 8: Страница кошелька поддельного сайта Benumb.

 

Когда мы посмотрели на номера кредитных карт на главной странице, мы обнаружили, что они идентичны тем, которые были указаны на поддельном сайте Genesis.

 

Рис. 9: Номера и данные кредитных карт на поддельной домашней странице Benumb...

 

Рис. 10: ...точно такие же, как на поддельном сайте Genesis.

 

Мы начали запрашивать в поисковых системах фрагменты текста, данные кредитных карт и адреса криптовалют, чтобы найти другие сайты, созданные тем же мошенником.

В общей сложности мы обнаружили двадцать сайтов, зарегистрированных в период с августа 2021 года по июнь 2022 года, которые, по нашим оценкам, с высокой степенью уверенности управляются одним и тем же человеком или группой. Практически все они имитируют существующие или недействующие криминальные площадки (включая многочисленные мошеннические версии Genesis, Benumb, UniCC и Pois0n), просят внести 100 долларов США за активацию, имеют схожий внешний вид и оформление. Некоторые из них используют один и тот же метод подмены буфера обмена, а некоторые - нет. Мы также заметили несколько других незначительных отличий, например, цвет фона или небольшие изменения в рекламном тексте.

 

Рис. 11: Мошенническая версия теневого рынка YaleLodge.

 

Рис. 12: Мошенническая версия другой торговой площадки, WWH Club.

 

Рис. 13: Мошенническая версия сайта Brian's Club, еще одного криминального маркетплейса.

 

Рис. 14: Мошенническая версия кардинг-сайта UniCC (настоящий сайт закрылся в январе 2022 года). Обратите внимание, что этот сайт также содержит ссылку на поддельный сайт Benumb.

 

Рис. 15: Мошенническая версия Pois0n, еще одной криминальной торговой площадки.

 

Попутно мы обнаружили доказательства того, что мошенник рекламировал другие сайты на Reddit:

 

Рис. 16: Сообщение на Reddit, рекламирующее один из поддельных сайтов Benumb[]cards.

 

Мы обнаружили одну аномалию - сайт под названием «Cashout Guide», который утверждает, что обучает пользователей кардингу и мошенничеству (естественно, за плату), но, тем не менее, имеет схожий с мошенническими рынками внешний вид:

 

Рис. 17: Доступные уровни на сайте Cashout Guide.

 

Из двадцати найденных нами сайтов тринадцать больше не активны. Большинство из них - сайты clearnet, хотя мы обнаружили три onion-сайта (и один clearnet-сайт, маскирующийся под onion-сайт).

Вот полный список, а также соответствующие биткойн-адреса и регистрационная информация (где это возможно):

Табл. 1: Список поддельных сайтов, которые мы выявили.

 

Когда мы собрали информацию со всех биткойн-адресов (по замыслу, балансы адресов Monero скрыты), мы обнаружили, что эта мошенническая сеть оказалась прибыльной. Вместе эти адреса получили более $132 000 - и большая их часть была выведена, в результате чего общий баланс составил всего $1 633,34.

Мы не можем с уверенностью сказать, связаны ли все поступления на эти адреса с аферой (т.е. мы не знаем, использовал ли мошенник их для другого бизнеса), а в некоторых случаях сроки не совпадают (несколько адресов провели первую транзакцию до регистрации связанного сайта (сайтов), поэтому некоторые поступления могли быть не связаны с аферой). Но даже если исключить эти примеры, в кошельки все равно поступило 87 676 долларов.

Оставался один большой вопрос: кто стоит за этой аферой?

Мы обнаружили кое-что, что, как нам показалось, может дать ключ к разгадке: на некоторых сайтах в нижнем колонтитуле содержится ссылка на сайт под названием darknet[.]markets (похоже, существует несколько версий этого сайта с очень похожим содержанием, включая darknetmarket[.]org и dark[.]markets).

 

Рис. 18: Ссылка на darknet[.]markets на мошенническом сайте unic[.]cards.

 

Эти сайты представляют собой указатели криминальных рынков темной паутины для посетителей, интересующихся продажей наркотиков, кардингом и обменом криптовалюты. Они не только похожи на мошеннические сайты (и имеют схожие данные о хостинге/регистрации), но и содержат список нескольких фальшивых сайтов, которые мы обнаружили.

 

Рис. 19: Раздел «кардинг» на сайте dark[.]markets.

 

Большинство объявлений об активации на мошеннических рынках упоминают форум по кардингу на криминальном рынке Dread (также известном как Café Dread). Мы поискали названия сайтов-индексаторов на Dread и нашли сообщение пользователя waltcranston (имя пользователя, вероятно, навеяно телесериалом Breaking Bad), который утверждал, что создал их:

 

Рис. 20: Сообщение waltcranston (сейчас удалено).

 

Мы также нашли по крайней мере одного пользователя Dread, который, похоже, попался на одну из афер:

 

Рис. 21: Сообщение пользователя Dread.

 

Покопавшись дальше в индексе сайтов, мы обнаружили, что waltcranston значится в разделе «Торговля наркотиками»:

 

Рис. 22: Onion-ссылка waltcranston на одном из индексных сайтов.

 

waltcranston - это самопровозглашенный дилер метамфетамина как на Dread, так и на других торговых площадках, таких как Alphabay. По их собственному признанию, они базируются в США:

 

Рис. 23: waltcranston утверждает, что базируется в США.

 

Их веб-сайт, похоже, использует шаблон, схожий с шаблонами мошеннических торговых площадок, а версия clearnet имеет схожий хостинг и регистрационные данные:

 

Рис. 24: Сайт поставщика waltcranston.

 

Мы также обнаружили, что одно из поддельных сообщений на форуме по крайней мере одного из мошеннических маркетплейсов было написано waltcranston:

 

Рис. 25: Сообщение на форуме одной из поддельных торговых площадок Benumb.

 

waltcranston использует как биткоин, так и Monero, как показано в этом посте:

 

Рис. 26: В сообщении, касающемся их метамфетаминового бизнеса, waltcranston подтверждает, что использует и Bitcoin, и Monero.

 

Несколько сообщений waltcranston свидетельствуют о знакомстве с криминальными рынками и открытом отношении к фишингу и мошенничеству, особенно когда речь идет об имитации конкретных рынков:

 

Рис. 27: waltcranston рекомендует Genesis Market другому пользователю.

 

Рис. 28: waltcranston передает несколько советов относительно фишинговых сайтов, "созданных специально для конкретного рынка или магазина".

 

Рис. 29: waltcranston предлагает запустить фишинговый сайт другому пользователю.

 

Рис. 30: waltcranston с язвительной цитатой о том, что продавцы обращаются к мошенничеству.

 

Пользователь Dread пришел к тому же выводу, что и мы, публично опубликовав это обвинение:

 

Рис. 31: Пользователь Dread обвиняет waltcranston в управлении некоторыми из обнаруженных нами мошеннических рынков.

 

В своих ответах waltcranston не подтвердил и не опроверг эти обвинения, хотя другие пользователи Dread высказались по этому поводу:

 

Рис. 32: Некоторые пользователи Dread осудили мошенников.

 

В приведенном выше разговоре обвинитель предлагает возможный мотив, по которому waltcranston ведет эти мошеннические сайты - выход на пенсию после торговли метамфетамином.

Другие пользователи Dread отнеслись к ситуации более равнодушно:

 

Рис. 33: Два пользователя Dread менее обеспокоены мошенниками.

 

Следует отметить, что большинство этих доказательств являются косвенными, и мы не нашли никаких конкретных идентификаторов, которые связывали бы waltcranston с поддельными торговыми площадками.

В заключительной части нашей серии мы покажем, почему эта тема так важна. Сообщения о мошенничестве - богатый и недостаточно изученный источник разведданных; злоумышленники знают, что криминальные форумы отслеживаются, и поэтому часто используют хорошую оперативную безопасность - но когда они сами становятся жертвами преступлений, это не так важно. Поскольку правила форума требуют доказательств для подтверждения обвинений в мошенничестве, пострадавшие часто публикуют скриншоты частных разговоров и исходного кода, идентификаторы, транзакции, журналы чата и подробные отчеты о переговорах, продажах и устранении неполадок. Мы поделимся некоторыми примерами из практики и завершим нашу серию рекомендаций и идей для будущих исследований.

 

Источник: https://news.sophos.com

Системы Информационной Безопасности