Глобальная операция по борьбе с киберпреступностью
Глобальная операция по борьбе с вредоносным ПО, известная как «киберпреступность как услуга», которая тихо опустошает криптовалютные кошельки, привела к заморозке десятков миллионов долларов украденных средств. Правоохранительные органы идентифицировали, отметили и заморозили более €41 миллиона (около $47 миллионов) в криминальных криптоактивах в последней фазе Операции Endgame, как сообщил Europol в среду.
Разрушение инфраструктуры вредоносного ПО
Двухнедельная многонациональная операция разрушила инфраструктуру трех семейств вредоносного ПО: SocGholish, Amadey и StealC, все из которых нацелены на пользователей криптовалюты. StealC, инфостилер, который продается как услуга с 2023 года, собирает пароли, куки браузера и данные криптокошельков с зараженных машин. Его панель управления даже включала плагин, который пытался расшифровать сид-фразы кошельков MetaMask жертв, выяснили исследователи из Proofpoint.
Amadey получает первоначальный доступ и устанавливает дальнейшее вредоносное ПО, в то время как SocGholish, связанный с российской группой Evil Corp, заражает пользователей через поддельные запросы на обновление браузера на взломанных веб-сайтах. Вместе они формируют передний край атак, которые заканчиваются опустошением кошельков, захватом аккаунтов и программами-вымогателями.
Результаты операции
Полиция закрыла 326 серверов и 142 домена, восстановила почти 27 миллионов украденных учетных данных с более чем 385,000 скомпрометированных систем и очистила почти 15,000 зараженных веб-сайтов, многие из которых принадлежали небольшим предприятиям. Microsoft, партнер операции, связала Amadey и StealC с более чем 140,000 зараженных компьютеров по всему миру только за первые две недели мая.
Инфостилеры и их методы
Инфостилеры стали основным путем к украденной криптовалюте, тихо извлекая файлы кошельков, приватные ключи и сид-фразы с устройств жертв. Они используют различные векторы для нацеливания на пользователей криптовалюты, включая поддельные инструменты ИИ, обои Steam и пиратские моды игр. Масштаб воздействия огромен.
Дальнейшие действия и последствия
Ранее действие Операции Endgame в конце прошлого года выявило данные для входа более чем 100,000 криптокошельков, украденных у жертв, но еще не опустошенных. Цифровая преступная единица Microsoft отдельно подала иск о рэкете в США, который впервые рассматривал два семейства вредоносного ПО как единый преступный заговор. Используя инструменты ИИ, включая Copilot, для анализа вредоносного ПО, следователи обнаружили, что Amadey и StealC, хотя и созданы разными преступниками, работали на общей инфраструктуре, что позволило Microsoft привлечь к ответственности участников обеих операций в соответствии с Законом RICO и разрушить более 200 серверов командного управления.
С тех пор было идентифицировано более 18,000 компьютеров жертв и начато отключение контроля атакующих. Такие операции по ликвидации редко полностью уничтожают вредоносное ПО, и операторы, как правило, собираются вновь, при этом StealC выпустил новую сборку так недавно, как в этом месяце. На данный момент Europol и его партнеры направляют уведомления жертв через такие сервисы, как Have I Been Pwned, чтобы пользователи могли проверить, находятся ли их учетные данные и ключи к их кошелькам уже в руках преступников.
