La identidad del segundo actor de amenazas detrás de la pollos dorados Se ha descubierto malware por cortesía de un error fatal de seguridad operativa, dijo la firma de ciberseguridad eSentire.
El individuo en cuestión, que vive en Bucarest, Rumania, recibió el nombre en clave de Jack. Es uno de los dos delincuentes que operan una cuenta en el foro Exploit.in en idioma ruso con el nombre «badbullzvenom», el otro es «Chuck from Montreal».
eSentire caracterizó a Jack como el verdadero cerebro detrás de Golden Chickens. La evidencia descubierta por la compañía canadiense muestra que él también figura como propietario de un negocio de importación y exportación de frutas y verduras.
«Al igual que ‘Chuck from Montreal’, ‘Jack’ usa múltiples alias para los foros clandestinos, las redes sociales y las cuentas de Jabber, y él también ha hecho todo lo posible para disfrazarse», los investigadores de eSentire Joe Stewart y Keegan Keplinger. dicho.
«‘Jack’ se ha esforzado mucho para ofuscar el malware Golden Chickens, tratando de hacerlo indetectable para la mayoría [antivirus] y permitiendo estrictamente que solo un pequeño número de clientes compren el acceso a Golden Chickens MaaS».
Golden Chickens (también conocido como More_eggs) es un paquete de malware utilizado por actores de delitos cibernéticos con motivación financiera, como Cobalt Group y FIN6. Los actores de amenazas detrás del malware, también conocido como Venom Spider, operan bajo un modelo de malware como servicio (MaaS).
El malware de JavaScript se distribuye a través de campañas de phishing y viene con varios componentes para recopilar información financiera, realizar movimientos laterales e incluso colocar un complemento de ransomware para PureLocker llamado TerraCrypt.
Las actividades en línea de Jack, según eSentire, se remontan a 2008, cuando tenía solo 15 años y se inscribió en varios foros de ciberdelincuencia como miembro novato. Todos sus alias se rastrean colectivamente como LUCKY.
La investigación, al armar su rastro digital, rastrea la progresión de Jack de un adolescente interesado en crear programas maliciosos a un hacker de larga data involucrado en el desarrollo de ladrones de contraseñas, codificadores y More_eggs.
Algunas de las primeras herramientas de malware desarrolladas por Jack en 2008 consistieron en Voyer, que es capaz de recolectar los mensajes instantáneos de Yahoo de un usuario, y un ladrón de información bautizado como FlyCatcher que puede registrar las pulsaciones de teclas.
Un año más tarde, Jack lanzó un nuevo ladrón de contraseñas llamado CON que está diseñado para desviar credenciales de diferentes navegadores web, aplicaciones VPN y FTP, así como aplicaciones de mensajería ya desaparecidas como MSN Messenger y Yahoo! Mensajero.
Jack, más tarde ese mismo año, comenzó a anunciar un encriptador conocido como GHOST para ayudar a otros actores a encriptar y ofuscar el malware con el objetivo de evadir la detección. Se cree que la muerte inesperada de su padre en un accidente automovilístico hizo que detuviera el desarrollo de la herramienta en 2010.
Avance rápido hasta 2012, Jack comenzó a ganar una reputación en la comunidad ciberdelincuente como un estafador por no brindar el soporte adecuado a los clientes que le compraban el producto.
También citó «grandes problemas de la vida» en una publicación del foro el 27 de abril de 2012, afirmando que está contemplando mudarse a Pakistán para trabajar para el gobierno como especialista en seguridad y que uno de sus clientes criptográficos «trabaja en pakistan guv». [read government].
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
No está claro de inmediato si Jack terminó yendo a Pakistán, pero eSentire dijo que detectó superposiciones tácticas entre una campaña de 2019 realizada por un actor de amenazas pakistaní conocido como SideCopy y el malware VenomLNK de Jack, que funciona como el vector de acceso inicial para la puerta trasera More_eggs.
Se sospecha que Jack se cruzó con «Chuck de Montreal» en algún momento entre finales de 2012 y el 4 de octubre de 2013, fecha en la que se publicó un mensaje desde la cuenta badbullz de Chuck en el foro de Lampeduza que contenía información de contacto (una dirección de Jabber) asociada con LUCKY. .
Se especula que Jack negoció un trato con Chuck que le permitiría publicar bajo los alias de Chuck «badbullz» y «badbullzvenom» en varios foros clandestinos como una forma de sortear su notoriedad como destripador.
Dar crédito a esta hipótesis es el hecho de que una de las nuevas herramientas de LUCKY, un kit para crear macros llamado MULTIPLIER, se lanzó en 2015 a través de la cuenta badbullzvenom, mientras que el actor de amenazas detrás de la cuenta LUCKY dejó de publicar a través de ese identificador.
«Al usar las cuentas badbullzvenom y badbullz, y sin que los miembros del foro lo sepan, básicamente está comenzando de cero y puede continuar construyendo su credibilidad bajo los alias de cuenta: badbullz y badbullzvenom», explicó el investigador.
Posteriormente, en 2017, badbullzvenom (también conocido como LUCKY) lanzó una herramienta separada llamada VenomKit, que desde entonces se ha convertido en Golden Chickens MaaS. La capacidad del malware para evadir la detección también llamó la atención de Grupo Cobaltouna pandilla de ciberdelincuencia con sede en Rusia que la aprovechó para implementar Cobalt Strike en ataques dirigidos a entidades financieras.
Dos años más tarde, otro actor de amenazas motivado financieramente llamado FIN6 (también conocido como ITG08 o Skeleton Spider) fue observado utilizando el servicio Golden Chickens para anclar sus intrusiones dirigidas a máquinas de punto de venta (POS) utilizadas por minoristas en Europa y EE. UU.
La firma de ciberseguridad dijo que también encontró las identidades de su esposa, madre y dos hermanas. Se dice que él y su esposa residen en una parte exclusiva de Bucarest, y las cuentas de redes sociales de su esposa documentan sus viajes a ciudades como Londres, París y Milán. Las fotos además los muestran usando ropa y accesorios de diseñador.
«El actor de amenazas que usaba el alias LUCKY y que también comparte las cuentas badbullz y badbullzvenom con el ciberdelincuente con sede en Montreal ‘Chuck’, cometió su error fatal cuando usó la cuenta Jabber», dijeron los investigadores.