Η εταιρεία κυβερνοασφάλειας Cyfirma ισχυρίζεται ότι αποκάλυψε την πραγματική ταυτότητα του προγραμματιστή πίσω από τα RAT (remote access trojans) CypherRAT και CraxsRAT.
Δείτε επίσης: Οι έξυπνοι λαμπτήρες TP-Link επιτρέπουν την κλοπή του Wi-Fi password σας
Χρησιμοποιώντας το διαδικτυακό όνομα ‘EVLF DEV’ και εργαζόμενος από τη Συρία τα τελευταία οκτώ χρόνια, πιστεύεται ότι το εν λόγω άτομο έχει κερδίσει πάνω από 75.000 δολάρια από την πώληση των δύο RATs σε διάφορους απειλητικούς φορείς. Σύμφωνα με την Cyfirma, ο ίδιος άνθρωπος είναι επίσης υπεύθυνος για την παροχή κακόβουλου λογισμικού ως υπηρεσία (MaaS).
Τα τελευταία τρία χρόνια, ο EVLF προσφέρει το CraxsRAT, ένα από τα πιο επικίνδυνα Android RATs που υπάρχουν σήμερα, σε ένα surface web store, με τουλάχιστον 100 άδειες χρήσης που έχουν πωληθεί μέχρι σήμερα.
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Σύμφωνα με την Cyfirma, ο CraxsRAT builder δημιουργεί υψηλά κρυπτογραφημένα πακέτα, επιτρέποντας στους κακόβουλους χρήστες να προσαρμόσουν το περιεχόμενο βάσει του τύπου επίθεσης που προετοιμάζουν, συμπεριλαμβανομένων των WebView page injections.
Δείτε επίσης: Ποια νοσοκομεία επηρεάζει το hack του συστήματος Prospect Medical Holdings;
Ο κατασκευαστής περιλαμβάνει επίσης μια γρήγορη λειτουργία εγκατάστασης που δημιουργεί εφαρμογές με λίγες άδειες εγκατάστασης για να βοηθήσει στην αποφυγή ανιχνεύσεων. Ωστόσο, μετά την εγκατάσταση, ο δράστης μπορεί να στέλνει αιτήματα για να ενεργοποιήσει επιπλέον άδειες.
«Για να αποκτήσει πρόσβαση στην οθόνη και τα πλήκτρα της συσκευής, η εφαρμογή πρέπει να ενεργοποιήσει την προσβασιμότητά της στις ρυθμίσεις. Έτσι, το πρόγραμμα δημιουργίας επιτρέπει στον χάκερ να επεξεργαστεί τη σελίδα που εμφανίζεται αμέσως μετά την ολοκλήρωση της εγκατάστασης της εφαρμογής», σημειώνει η Cyfirma.
Επιπρόσθετα, διατίθεται μια λειτουργία “super mod” για να καθιστά την εφαρμογή δύσκολα αφαιρούμενη από τις μολυσμένες συσκευές, καταρρίπτοντας τη σελίδα κάθε φορά που ανιχνεύεται μια προσπάθεια απεγκατάστασης.
Στις μολυσμένες συσκευές, το RAT μπορεί να ανακτήσει την ακριβή τοποθεσία της συσκευής, να διαβάσει και να κλέψει επαφές, να έχει πρόσβαση στον αποθηκευτικό χώρο της συσκευής και να διαβάσει μηνύματα και αρχεία καταγραφής κλήσεων.
Η έρευνα της Cyfirma για την τοποθεσία του EVLF οδήγησε στον εντοπισμό ενός καναλιού στο Telegram με πάνω από 10.000 συνδρομητές και ενός κρυπτονομίσματος που αποκάλυψε τα κέρδη του ανεπιθύμητου λογισμικού από την πώληση των RATs για τουλάχιστον τρία χρόνια.
Δείτε επίσης: Νέα παραλλαγή του XLoader macOS Malware μεταμφιέζεται ως OfficeNote app
Η Cyfirma επικοινώνησε με την εταιρεία πορτοφολιού κρυπτονομίσματος για να ζητήσει τον πάγωμα των περιουσιακών στοιχείων του δράστη, μέχρι να γίνει έλεγχος ταυτότητας.
Με τα κεφάλαια να παραμένουν παγωμένα μετά την επαλήθευση, ο EVLF ξεκίνησε μια συζήτηση σε ένα φόρουμ συζήτησης για κρυπτονομίσματα, το οποίο βοήθησε την Cyfirma να ανακαλύψει πρόσθετες πληροφορίες όπως το του πραγματικό όνομα, διεύθυνση IP και διεύθυνση email.
Με βάση την έρευνά μας, μπορούμε με μεγάλη βεβαιότητα να διαπιστώσουμε ότι ο EVLF είναι ένας άνδρας από τη Συρία, σημειώνει η Cyfirma.
Πηγή πληροφοριών: securityweek.com