Profi adatlopók
A Group-IB kutatói 34 új oroszul nyelvű csoportot észlelt, amelyek többféle adatlopó technikát terjesztenek. A kutatók szerint a csoportok felhasználói hitelesítő adatokat lopnak el magánszemélyektől online játékplatformokon, olyanokon mint a Steam és a Roblox, vagy fizetési adatokat az Amazon és a PayPal fiókból, továbbá a kriptovaluta pénztárcákat is.
A főként Egyesült Államokban, Brazíliában, Indiában és Németországban alkalmazott támadások eddig 890 000 személyt ért el és 50 millió jelszót loptak el, ami a becslések szerint 5,8 millió dollárt ér a darknet piaci fórumokon.
Az adatlopást, mint szolgáltatás (Stealer-as-a-Service) kínáló csoportok a Classiscam csoportjaiból fejlődtek ki, hasonló taktikákat alkalmaznak a rosszindulatú weboldalakon, a Telegram robotok generálják a kódokat. Egyes csoport akár 200 tagú is lehet, hierarchikus felépítésűen. Jellemzően a csúcson lévő adminisztrátorok a rosszindulatú programokat az alacsonyabb rangú csalóknak adják át ellopott adatokért vagy pénzért cserébe.
A csalók feladata, hogy olyan hamis weboldalakra tereljék a forgalmat, amelyek jól ismert cégeknek adják ki magukat, és rávegyék az áldozatokat a rosszindulatú kódok letöltésére. A meghamisított weboldalakat a közösségi médiában, a YouTube-on található népszerű videojáték-kritikákra mutató linkekként, vagy aktív keresési találatok környezetében helyezik el.
A telepített infostealer-változatok közül a RedLine a legnépszerűbb – ezt az azonosított 34 csoportból 23 használja. A Raccoon a második helyen áll – jelenleg nyolc csoport használja. A jelentés szerint néhány más csoport egyéni lopókat vagy a három rosszindulatú programváltozat kombinációját használja.
Az IB-csoport szerint az alacsonyabb belépési költségek és a nem túl bonyolult használat miatt terjed leginkább a terjesztés. A kezdőknek nem kell haladó technikai tudással rendelkezniük, hiszen a folyamat teljesen automatizált, egyetlen feladatuk, hogy a Telegram botban egy fájlt hozzanak létre és oda terelje a forgalmat.
A csoportok működésének nagyságrendje miatt a Group-IB rendkívül veszélyesnek ismeri el a hackereket, és azt javasolja a felhasználóknak, hogy tartózkodjanak a szoftverek nem biztonságos weboldalról történő letöltésétől. A csoport azt is tanácsolja a felhasználóknak, hogy ne mentsék el a jelszavakat a böngészőkben, és rendszeresen töröljék böngészőjük cookie-jait.