0
0
No que só pode ser descrito como um caso de ironia cármica, um golpista nigeriano responsável por roubar mais de 800.000 credenciais de cerca de 28.000 vítimas nos últimos anos infectou sua própria máquina com malware de roubo de informações que resultou na exposição de sua identidade.
Pesquisadores do Malwarebytes entraram em seu rastro quando identificaram um grupo que eles rastreiam como “Tesla nigeriano” entre numerosos atores de ameaça que visam entidades ucranianas. Os malwarebytes rastrearam o grupo por anos inicialmente enquanto ele estava envolvido em uma série de supostas 419 fraudes de taxas antecipadas (também conhecidas como golpes de cartas nigerianas), onde as vítimas recebem e-mails prometendo-lhes uma generosa comissão para facilitar uma transferência de dinheiro envolvendo uma grande quantia.
Nos últimos dois anos, pesquisadores do Malwarebytes observaram o ator de ameaças trocando de 419 golpes para distribuir o Agente Tesla, um Trojan (RAT) de acesso remoto amplamente usado para roubar dados pessoais de sistemas infectados.
Malwarebytes recentemente identificou o nigeriano Tesla tentando distribuir o malware através de um e-mail com um cabeçalho de assunto intitulado “Pagamento Final” em ucraniano. Os destinatários que clicaram no link no e-mail foram direcionados para um site de compartilhamento de arquivos, que então baixou o binário agente Tesla para o sistema do usuário.
A cadeia de ataque envolveu o servidor de comando e controle (C2) enviando uma mensagem ao Agente Tesla em sistemas infectados, projetado para confirmar que o malware havia sido configurado adequadamente para comunicação remota. Ao examinar a campanha, os pesquisadores detectaram uma estranheza — várias mensagens contendo o texto “Teste bem sucedido” provenientes da própria máquina do invasor. Há apenas uma conclusão lógica: o atacante de alguma forma conseguiu auto-infligir o agente Tesla malware.
Um membro da equipe de inteligência de ameaças do Malwarebytes diz ao Dark Reading que o ator de ameaças cometeu vários erros: “O maior deles foi infectar seu próprio computador com o ladrão agente Tesla”, diz ele. Ao fazer isso, todas as credenciais de sua máquina, armazenadas em aplicativos comuns, como navegadores, foram coletadas e exfiltradas. De certa forma, eles se tornaram apenas mais uma vítima, mas neste caso de seu próprio malware.”
Um exame dos e-mails de teste expôs o endereço IP do atacante, o que levou os pesquisadores a um caminho que acabou revelando a identidade real, endereço, fotos e uma cópia de sua carteira de motorista nigeriana.
Uma trilha de migalhas de pão
Uma das primeiras coisas que o Malwarebytes descobriu ao investigar o endereço IP do ator de ameaças foi que ele havia enviado mais de duas dúzias de e-mails adicionais do mesmo endereço IP. Os pesquisadores não conseguiram descobrir como o atacante conseguiu infectar seu próprio sistema. Mas os e-mails revelaram vários outros serviços que o ator de ameaça usou como parte de sua infraestrutura de ataque.
Estes incluíam um serviço que poderia ser usado como uma fonte para e-mails de vítimas, outro para extrair e-mails de sistemas comprometidos, serviços de hospedagem e armazenamento de arquivos, servidores privados virtuais e serviços de VPN e DNS. Os pesquisadores também descobriram vários nomes assumidos que o grupo nigeriano Tesla usou em golpes de e-mail anteriores, juntamente com inúmeras contas de e-mail que foram usadas em golpes de phishing e campanhas de roubo de dados.
Uma investigação dos e-mails e das personas associadas a eles mostrou que o grupo nigeriano Tesla estava envolvido em atividades cibernéticas criminosas desde pelo menos 2014. Naquela época, o grupo estava envolvido principalmente em 419 golpes envolvendo e-mails de pessoas fictícias passando por nomes como Rita Bent, Lee Chen e John Cooper. Os malwarebytes encontraram a ameaça de fazer uma mudança para a distribuição de malware em 2020, e identificaram as ferramentas que o invasor usou para ofuscar seus binários e testar se eles poderiam ser detectados.
Durante sua investigação, os pesquisadores do Malwarebytes encontraram algumas fotos do indivíduo que pareciam ter iniciado a operação, bem como a carteira de motorista do agente infectado pelo Tesla. Os malwarebytes identificaram o indivíduo apenas como “E.K” e como alguém nascido em 1985.
FONTE: DARK READING