Sadece bir karmik ironi vakası olarak tanımlanabilecek bir durumda, son birkaç yılda 28.000 kurbandan 800.000’den fazla kimlik bilgilerini çalmaktan sorumlu olan Nijeryalı bir dolandırıcı, yakın zamanda kendi makinesine, kimliğinin açığa çıkmasına neden olan bilgi çalma amaçlı kötü amaçlı yazılım bulaştırdı.
Malwarebytes araştırmacıları, Ukraynalı varlıkları hedef alan çok sayıda tehdit aktörü arasında “Nijeryalı Tesla” olarak takip ettikleri bir grup belirlediklerinde onun izini sürdüler. Malwarebytes, kurbanların büyük meblağları içeren bir para transferini kolaylaştırmak için onlara cömert bir komisyon vaat eden e-postalar aldığı bir dizi sözde 419 avans ücreti dolandırıcılığı (diğer adıyla Nijeryalı mektup dolandırıcılığı) ile uğraşırken, grubu yıllarca takip etmişti.
Geçtiğimiz iki yıl boyunca, Malwarebytes araştırmacıları, tehdit aktörünün 419 dolandırıcılıktan, virüslü sistemlerden kişisel verileri çalmak için yaygın olarak kullanılan bir uzaktan erişim Truva Atı (RAT) olan Agent Tesla’yı dağıtmaya geçtiğini gözlemlemişti.
Malwarebytes kısa süre önce Nijeryalı Tesla’yı tespit etti Ukraynaca “Son Ödeme” başlıklı bir konu başlığına sahip bir e-posta yoluyla kötü amaçlı yazılımı dağıtmaya çalışmak. E-postadaki bağlantıya tıklayan alıcılar, daha sonra Agent Tesla ikili dosyasını kullanıcının sistemine indiren bir dosya paylaşım sitesine yönlendirildi.
Saldırı zinciri, komuta ve kontrol sunucusunun (C2), kötü amaçlı yazılımın uzaktan iletişim için uygun şekilde yapılandırıldığını doğrulamak için tasarlanmış, virüslü sistemlerde Ajan Tesla’ya bir mesaj göndermesini içeriyordu. Kampanyayı inceleyen araştırmacılar, bir tuhaflık tespit ettiler: Saldırganın kendi makinesinden gelen “Test başarılı” metnini içeren birden fazla mesaj. Tek bir mantıklı sonuç var: Saldırgan bir şekilde Ajan Tesla kötü amaçlı yazılımını kendi kendine uygulamayı başarmıştı.
Malwarebytes’in tehdit istihbarat ekibinin bir üyesi, Dark Reading’e tehdit aktörünün birkaç hata yaptığını söylüyor: “En büyüğü kendi bilgisayarına Ajan Tesla hırsızını bulaştırmaktı” diyor. “Bunu yaparak, tarayıcılar gibi yaygın uygulamalarda depolanan makinelerindeki tüm kimlik bilgileri toplandı ve sızdırıldı. Bir bakıma, yalnızca başka bir kurban haline geldiler, ancak bu durumda kendi kötü amaçlı yazılımlarının kurbanı oldular.”
Test e-postalarının incelenmesi, saldırganın IP adresini ortaya çıkardı ve bu da araştırmacıları, sonunda kendilerine saldırganın gerçek kimliğini, adresini, fotoğraflarını ve Nijeryalı ehliyetinin bir kopyasını ortaya çıkaran bir yola yönlendirdi.
Bir Ekmek Kırıntısı İzi
Malwarebytes’in tehdit aktörünün IP adresini araştırırken keşfettiği ilk şeylerden biri, aynı IP adresinden iki düzineden fazla ek e-posta göndermesiydi. Araştırmacılar, saldırganın kendi sistemine nasıl bulaşmayı başardığını çözemediler. Ancak e-postalar, tehdit aktörünün saldırı altyapısının bir parçası olarak kullandığı birkaç başka hizmeti ortaya çıkardı.
Bunlar, kurban e-postaları için bir kaynak olarak kullanılabilecek bir hizmet, güvenliği ihlal edilmiş sistemlerden e-postaları çıkarmak için bir başka hizmet, dosya barındırma ve depolama hizmetleri, sanal özel sunucular ve VPN ve DNS hizmetlerini içeriyordu. Araştırmacılar ayrıca, Nijeryalı Tesla grubunun geçmişteki e-posta dolandırıcılıklarında kullandığı birkaç varsayılan isim ve kimlik avı dolandırıcılığı ve veri hırsızlığı kampanyalarında kullanılan çok sayıda e-posta hesabı keşfetti.
E-postaların ve bunlarla ilişkili kişilerin incelenmesi, Nijeryalı Tesla grubunun en az 2014 yılına kadar uzanan suç teşkil eden siber faaliyetlerde bulunduğunu gösterdi. O zamanlar, grup esas olarak, isimleriyle hayali kişilerden gelen e-postaları içeren 419 dolandırıcılıkla uğraşıyordu. Rita Bent, Lee Chen ve John Cooper gibi. Malwarebytes, tehdidi 2020’de kötü amaçlı yazılım dağıtımına geçiş yaparken buldu ve saldırganın ikili dosyalarını gizlemek ve tespit edilip edilemeyeceklerini test etmek için kullandığı araçları belirledi.
Malwarebytes araştırmacıları araştırmaları sırasında, operasyonu başlatan kişinin birkaç fotoğrafını ve ayrıca Tesla Ajanı ile enfekte olan kişinin ehliyetini buldu. Malwarebytes, kişiyi yalnızca “EK” ve 1985 doğumlu biri olarak tanımladı.
