Az eSentire Threat Response Unit (TRU) egy 16 hónapos vizsgálatot követően közzétett kimerítő jelentésében azt írta, hogy "többször is találtak olyan említést, amely szerint a badbullzvenom fiókot két személy megosztotta egymással". A második, Frapstar néven ismert fenyegető elem állítólag "Chuck from Montreal"-ként azonosította magát, ami lehetővé tette a kiberbiztonsági cég számára, hogy összerakja a bűnöző digitális lábnyomát.
Ez tartalmazza a valódi nevét, képeit, lakcímét, szülei, testvérei és barátai nevét, valamint a közösségi média fiókjait és érdeklődési körét. Állítólag egy kisvállalkozás egyedüli tulajdonosa is, amelyet saját otthonából működtet.
A Golden Chickens, más néven Venom Spider, egy malware-as-a-service (MaaS) szolgáltató, amely számos eszközhöz kapcsolódik, mint például a Taurus Builder, egy rosszindulatú dokumentumok létrehozására szolgáló szoftver és a More_eggs, egy JavaScript letöltő, amelyet további "hasznos terhek" kiszolgálására használnak.
A fenyegető elem kiberarzenálját más kiemelkedő kiberbűnözői csoportok, például a Cobalt Group (más néven Cobalt Gang), az Evilnum és a FIN6 is bevetették, amelyek a becslések szerint együttesen összesen 1,5 milliárd dollárnyi kárt okoztak.
A korábbi More_eggs-kampányok, amelyek közül néhány 2017-re nyúlik vissza, üzleti szakemberek LinkedIn-en történő, hamis állásajánlatokkal történő szigonyos adathalászatát foglalják magukban, amelyek révén a fenyegető elemek távoli irányításhoz jutnak az áldozat gépe felett, és azt kihasználva információkat gyűjthetnek vagy további rosszindulatú szoftvereket telepíthetnek.
Tavaly, egyfajta fordulatot jelentve, ugyanezzel a taktikával támadták meg a vállalati felvételi menedzsereket, akik rosszindulatú szoftverekkel megrakott önéletrajzokat használtak fertőzési vektorként.
A Frapster tevékenységének legkorábbi dokumentált feljegyzése 2015 májusára nyúlik vissza, amikor a Trend Micro "magányos bűnözőként" és luxusautó-rajongóként írta le az illetőt. "Chuck, aki több álnevet is használ underground fórumaihoz, közösségi médiához és Jabber-fiókjaihoz, valamint a magát moldovai származásúnak valló fenyegető elem nagy erőfeszítéseket tett, hogy álcázza magát" - mondták Joe Stewart és Keegan Keplinger, az eSentire kutatói. "Nagy gondot fordítottak arra is, hogy elhomályosítsák a Golden Chickens malware-t, megpróbálták a legtöbb AV-cég számára felismerhetetlenné tenni, és korlátozták az ügyfeleket arra, hogy a Golden Chickens-t CSAK célzott támadásokhoz használják" - írták.
A gyanú szerint Chuck az egyik a két fenyegető szereplő közül, akik a badbullzvenom fiókot működtetik az Exploit.in underground fórumon, a másik fél pedig valószínűleg Moldovában vagy Romániában található, jegyezte meg az eSentire.
A kanadai kiberbiztonsági vállalat közölte továbbá, hogy egy új, e-kereskedelmi cégeket célzó támadási kampányt fedezett fel, amely a toborzókat arra csábítja, hogy egy önéletrajznak álcázott weboldalról töltsenek le egy hamis Windows parancsfájlt.
A parancsikon, a VenomLNK nevű rosszindulatú szoftver kezdeti hozzáférési vektorként szolgál a More_eggs vagy a TerraLoader ledobásához, amely ezt követően különböző modulok telepítéséhez kezd. Ezek következők: TerraRecon (az áldozatok profilozásához), TerraStealer (információlopáshoz) és TerraCrypt (zsarolóprogramok zsarolásához).
"A kártevőcsomagot még mindig aktívan fejlesztik, és más fenyegető elemek számára is értékesítik" - állapították meg a kutatók, akik arra ösztönzik a szervezeteket, hogy legyenek résen a potenciális adathalászkísérletekkel szemben - számolt be a The HackerNews.
