Mii de pedofili care descarcă și distribuie materiale de abuz sexual asupra copiilor au fost identificați prin intermediul jurnalelor de malware de tip infostealer care au fost scurse pe dark web, evidențiind o nouă dimensiune a utilizării datelor furate în investigațiile de aplicare a legii.
Utilizarea inedită a setului de date a fost realizată de Insikt Group al Recorded Future, care a publicat un raport explicând cum au identificat 3.324 de conturi unice care au accesat portaluri ilegale cunoscute pentru distribuirea materialelor de abuz sexual asupra copiilor.
Prin exploatarea altor date furate de la ținta respectivă, analiștii de la Insikt au putut urmări acele conturi către numele de utilizator de pe diverse platforme, să-și deducă adresele IP și chiar informații despre sistem.
Aceste informații adunate de către Insikt Group au fost partajate cu forțele de aplicare a legii pentru a dezvălui identitățile acestor indivizi și a proceda la arestări.
Un jurnal de tip stealer este o colecție de date furate de la un anumit individ de către malware-ul de tip infostealer, cum ar fi Redline, Raccoon și Vidar, de pe sistemele infectate.
Când aceste tipuri de malware sunt executate pe un dispozitiv, acestea colectează informații de autentificare, istoricul browserului, cookie-urile browserului, datele autofill, informațiile despre portofelul de criptomonede, capturi de ecran și informații despre sistem.
Informațiile sunt apoi ambalate într-un arhivă numită „jurnal”, care este apoi transmisă înapoi către serverele actorului malefic.
Actorii de amenințare pot apoi utiliza aceste date de autentificare furate pentru a sparge și alte conturi, a efectua atacuri corporative sau a le vinde altor infractori cibernetici pe dark web, Telegram și alte platforme. Datorită dimensiunii și numărului lor, aceste jurnale sunt rar scrutinate și categorisite, ci mai degrabă vândute en-gros.
Analizele anterioare au arătat că jurnalele de tip infostealer pot conține date cruciale ale conturilor de afaceri sau date de autentificare la conturi care pot expune informații proprietare.
Deoarece acest tip de malware este distribuit în mod obișnuit prin intermediul software-urilor piratate, malvertising și actualizări false, ele pot suge date de pe sistemele infectate pentru perioade extinse fără ca victima să-și dea seama.
Aceasta include utilizatorii de materiale de abuz sexual asupra copiilor care, fără știrea lor, expun toate datele de autentificare pentru conturile lor de online banking, email și alte conturi legitime, precum și datele de autentificare folosite pentru accesarea site-urilor de abuz sexual asupra copiilor care necesită înregistrare.
Analiștii de la Insikt au folosit jurnale de tip infostealer capturate între februarie 2021 și februarie 2024 pentru a identifica consumatorii de materiale de abuz sexual asupra copiilor prin încrucișarea datelor furate cu douăzeci de domenii cunoscute de abuz sexual asupra copiilor.
Apoi au eliminat duplicatelor pentru a restrânge rezultatele la 3.324 de perechi unice de nume de utilizator și parole.
Deoarece malware-ul de tip infostealer fură toate datele de autentificare salvate într-un browser, cercetătorii au putut lega deținătorii de conturi de abuz sexual asupra copiilor de conturile lor online legale, cum ar fi emailul, banking-ul, cumpărăturile online, operatorii mobili și social media.
Apoi au folosit informațiile de sursă deschisă și artefactele digitale pentru a aduna mai multe informații relevante despre acești utilizatori. Aceste indicii includ:
Raportul Recorded Future evidențiază trei cazuri de indivizi identificați, rezumate astfel:
Analiza Insikt evidențiază potențialul datelor de tip infostealer în ajutarea forțelor de aplicare a legii să urmărească abuzul asupra copiilor și să-i acuze pe indivizi.
Threat actorul New Unfurling Hemlock inundă sistemele cu malware
Erorile false ale Google Chrome vă păcălesc să rulați scripturi PowerShell malitioase
Europol identifică 8 infractori cibernetici legați de botnet-urile de încărcătoare de malware
Poliția confiscă peste 100 de servere de încărcătoare de malware, arestează patru infractori cibernetici
Cisco avertizează cu privire la zero-day-ul NX-OS exploatat pentru a implementa malware personalizat
Leave a Reply