04 avril 2025Ravie LakshmananIntelligence de menace / logiciels malveillants

Un acteur de cybercriminalité novice a été observé en train de tirer parti des services d’un fournisseur d’hébergement de puces russes (BPH) appelé Proton66 pour faciliter leurs opérations.

Les résultats proviennent de Domaintools, qui ont détecté l’activité après avoir découvert un site Web de faux nommé CyberseCureProtect[.]com hébergé sur Proton66 qui se faisait passer pour un service antivirus.

La société de renseignement sur les menaces a déclaré avoir identifié une défaillance de la sécurité opérationnelle (OPSEC) dans le domaine qui a laissé son infrastructure malveillante exposée, révélant ainsi les charges utiles malveillantes mise en scène sur le serveur.

“Cette révélation nous a conduits dans un terrier de lapin dans les opérations d’un acteur de menace émergent connu sous le nom de Coquettette – un cybercriminét amateur tirant parti de l’hébergement pareil de Proton66 pour distribuer des logiciels malveillants et s’engager dans d’autres activités illicites”, il dit Dans un rapport partagé avec le Hacker News.

Cybersécurité

Proton66, également lié à un autre service d’HBP connu sous le nom de Prospero, a été attribué à Plusieurs campagnes Distribution des logiciels malveillants et des logiciels malveillants Android comme Gootloader, Matanbuchus, Spynote, Coper (alias Octo) et Socgholish. Les pages de phishing hébergées sur le service ont été propagées via des messages SMS pour inciter les utilisateurs à entrer dans leurs informations d’identification bancaires et leurs informations de carte de crédit.

Coquettette est l’un de ces acteurs de menace tirant parti des avantages offerts par l’écosystème Proton66 pour distribuer des logiciels malveillants sous le couvert d’outils antivirus légitimes.

Cela prend la forme d’une archive zip (“Cybersecure pro.zip”) qui contient un installateur Windows qui télécharge ensuite un malware de deuxième étape à partir d’un serveur distant responsable de la fourniture de charges utiles secondaires à partir d’un serveur de commande et de contrôle (C2) (“” CIA[.]tf “).

La deuxième étape est un chargeur classé comme rugmi (alias Pensée), qui a été utilisé dans le passé pour déployer des voleurs d’informations comme Lumma, Vidar et Raccoon.

Une analyse plus approfondie des empreintes numériques de Coquettet a révélé un site Web personnel sur lequel ils prétendent être un “ingénieur logiciel de 19 ans, poursuivant un diplôme en développement de logiciels”.

De plus, la CIA[.]Le domaine TF a été enregistré avec l’adresse e-mail “root @ coquettette[.]com, “confirmant que l’acteur de menace contrôlait le serveur C2 et exploitait le faux site de cybersécurité en tant que centre de distribution de logiciels malveillants.

“Cela suggère que Coquettette est un jeune individu, peut-être un étudiant, qui s’aligne sur les erreurs amateur (comme le répertoire ouvert) dans leurs efforts de cybercriminalité”, a déclaré Domaintools.

Cybersécurité

Les entreprises de l’acteur de menace ne se limitent pas aux logiciels malveillants, car ils ont également géré d’autres sites Web qui vendent des guides pour la fabrication de substances et d’armes illégales. Coquettette serait vaguement liée à un groupe de piratage plus large qui s’appelle Horrid.

“Le schéma des infrastructures qui se chevauchent suggère que les individus derrière ces sites peuvent se qualifier de” horrible “, Coquettet étant un alias de l’un des membres plutôt que comme un acteur seul”, a déclaré la société.

“L’affiliation du groupe avec plusieurs domaines liés à la cybercriminalité et au contenu illicite suggère qu’il fonctionne comme un incubateur pour les cybercriminels inspirants ou amateurs, fournissant des ressources et des infrastructures à ceux qui cherchent à s’établir dans les cercles de piratage souterrains.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57