[ad_1]

En mai 2015, BreachTrace a brièvement décrit « Les Manipulateurs», le nom choisi par un groupe prolifique de cybercriminalité basé au Pakistan qui vendait très publiquement des outils anti-spam et une gamme de services pour créer, héberger et déployer des e-mails malveillants. Six ans plus tard, un examen des publications sur les réseaux sociaux de ce groupe montre qu’ils prospèrent, tout en cachant plutôt mal leurs activités derrière une société de développement de logiciels à Lahore qui a secrètement permis à toute une génération de spammeurs et d’escrocs.

Le site Web en 2015 de la « Manipulators Team », un groupe de pirates informatiques pakistanais derrière l’identité Web sombre « Saim Raza », qui vend des outils et des services de spam et de logiciels malveillants.

La marque principale des Manipulateurs dans l’underground est une identité cybercriminelle partagée nommée « Saïm Raza», qui, au cours de la dernière décennie, sur des dizaines de sites et de forums de cybercriminalité, a colporté un service populaire de spam et de phishing appelé «Fudtools, » « Fudpage, » « Expéditeur, » etc.

L’acronyme commun dans presque tous les domaines de Saim Raza au fil des ans – « FUD » – signifie « Fully tun-ectable », et il fait référence aux ressources de cybercriminalité qui échapperont à la détection par les outils de sécurité comme les logiciels antivirus ou les dispositifs anti-spam.

L’un des nombreux sites Fudtools actuels gérés par The Manipulaters.

Le site Web actuel de Fud Tools de Saim Raza (ci-dessus) propose des modèles d’hameçonnage ou des « pages frauduleuses » pour une variété de sites en ligne populaires tels que Bureau 365 et Boîte de dépôt. Ils vendent également des produits « Doc Exploit » qui regroupent des logiciels malveillants avec des documents Microsoft Office inoffensifs ; « hébergement de scampage » pour les sites de phishing ; une variété d’outils anti-spam comme HeartSender ; et des logiciels conçus pour aider les spammeurs à acheminer leurs e-mails malveillants via des sites, des comptes et des services compromis dans le cloud.

Pendant les années qui ont précédé 2015, «[email protected]” était le nom sur les registres d’enregistrement de milliers de domaines frauduleux qui usurpaient certaines des plus grandes banques et marques du monde, mais en particulier Apple et Microsoft. Confronté à cela, le fondateur des Manipulateurs Madih-ullah Riaz a répondu: «Nous n’hébergeons ni n’autorisons délibérément aucun site Web de phishing ou tout autre site Web abusif. En ce qui concerne le phishing, chaque fois que nous recevons une plainte, nous supprimons immédiatement les services. De plus, nous gérons des affaires depuis 2006. »

Le réseau informatique des Manipulateurs, vers 2013. Image : Facebook

Deux ans plus tard, BreachTrace a reçu un e-mail de Riaz demandant que son nom et celui de son partenaire commercial soient retirés de l’histoire de 2015, affirmant que cela avait nui à la capacité de son entreprise à maintenir un hébergement stable pour son écurie de domaines.

« Nous gérons une entreprise d’hébergement Web et à cause de votre message, nous avons eu de très sérieux problèmes, en particulier aucun centre de données ne nous acceptait », a écrit Riaz dans un e-mail de mai 2017. « Je peux vous voir poster sur des criminels en difficulté, nous ne sommes pas des criminels, du moins ce n’était pas à notre connaissance. »

Riaz a déclaré que le problème était que le système de facturation de son entreprise utilisait par erreur le nom et les coordonnées de The Manipulators au lieu de ses clients dans les enregistrements d’enregistrement WHOIS. Cet oubli, a-t-il dit, a amené de nombreux chercheurs à leur attribuer à tort une activité provenant de quelques mauvais clients.

« Nous travaillons dur pour gagner de l’argent et c’est ma demande, 2 ans de mon nom dans votre merveilleux article est une punition suffisante et nous avons appris de nos erreurs », a-t-il conclu.

Les Manipulateurs ont en effet appris quelques nouvelles astuces, mais garder leurs opérations souterraines à l’écart de leurs identités réelles n’en fait heureusement pas partie.

SÉCURITÉ OPÉRATIONNELLE ZÉRO

Les noms de domaine de phishing enregistrés auprès des Manipulateurs comprenaient une adresse à Karachi, avec le numéro de téléphone 923218912562. Ce même numéro de téléphone est partagé dans les enregistrements WHOIS pour plus de 4 000 domaines enregistrés via fournisseur de domaine[.]travailun domaine contrôlé par The Manipulators qui semble être un revendeur d’un autre fournisseur de noms de domaine.

L’une des nombreuses publicités de Saim Raza dans le milieu de la cybercriminalité pour son service Fudtools fait la promotion du domaine page d’accueil[.]com, et les enregistrements WHOIS de ce domaine partagent le même numéro de téléphone de Karachi. Les enregistrements WHOIS de Fudpage répertorient le contact comme « [email protected]», qui est une autre adresse e-mail utilisée par The Manipulators pour enregistrer des domaines.

Comme je l’ai noté en 2015, l’équipe des manipulateurs a utilisé les paramètres du service de nom de domaine (DNS) d’un autre service manifestement frauduleux appelé ‘FreshSpamTools[.]UE‘, qui a été offert par un compatriote pakistanais qui a également vendu des kits d’outils de phishing ciblant un certain nombre de grandes banques.

Les enregistrements WHOIS pour FreshSpamTools répertorient brièvement l’adresse e-mail [email protected]qui correspond à l’adresse e-mail d’un compte Facebook d’un Bilal « Ensoleillé » Ahmad Warraich (alias Bilal Waddaich).

La photo de profil Facebook actuelle de Bilal Waddaich comprend de nombreux employés actuels et anciens de We Code Solutions.

Le profil Facebook de Warraich indique qu’il travaille comme spécialiste du support informatique dans une société de développement de logiciels à Lahore appelée Nous codons des solutions.

Le site We Code Solutions.

Examen des dossiers d’hébergement du site Web de l’entreprise wecodesolutions[.]paquet montrent qu’au cours des trois dernières années, il a partagé un serveur avec une poignée d’autres domaines, notamment :

-saimraza[.]outils
-fud[.]outils
-l’expéditeur du cœur[.]rapporter
-fudspampage[.]com
-fudteam[.]com
-autoshopscript[.]com
-wecodebilling[.]com
-antibotspanel[.]com
-vendre en ligne[.]outils

FUDCO

L’image de profil au sommet de la page Facebook de Warraich est une photo de groupe des employés actuels et anciens de We Code Solutions. Heureusement, de nombreux visages sur cette photo ont été tagués et associés à leurs profils Facebook respectifs.

Par exemple, le profil Facebook de Burhan Ul Haqalias « Burhan Shaxx» raconte qu’il travaille dans les relations humaines et le support informatique pour We Code Solutions. En parcourant les interminables selfies d’Ul Haq sur Facebook, il est impossible d’ignorer une série de photos présentant divers gâteaux d’anniversaire et les mots « Fud Co » écrits en glaçage sur le dessus.

Les photos de Burhan Ul Haq montrent de nombreux gâteaux sur le thème de Fud Co que les employés de We Code Solutions ont dégustés à l’occasion de l’anniversaire de l’équipe des manipulateurs.

Oui, d’après un examen des publications Facebook des employés de We Code Solutions, il semble que depuis au moins cinq ans, ce groupe célèbre un anniversaire chaque mois de mai avec un gâteau Fud Co, du vin mousseux sans alcool et une fête Fud Co ou dîner de groupe. Regardons de plus près ce délicieux gâteau :

Le chef de We Code Solutions semble être un type nommé Rameez Shahzad, la personne la plus âgée au centre de la photo de groupe du profil Facebook de Warraich. Vous pouvez dire que Shahzad est le patron car il est au centre de pratiquement toutes les photos de groupe que lui et d’autres employés de We Code Solutions ont publiées sur leurs pages Facebook respectives.

Le patron de We Code Solutions, Rameez Shahzad (avec des lunettes de soleil) est au centre de cette photo de groupe, qui a été publiée par l’employé Burhan Ul Haq, photographié juste à droite de Shahzad.

Les publications de Shahzad sur Facebook sont encore plus révélatrices : le 3 août 2018, il a publié une capture d’écran d’une personne connectée à un site Web sous le nom d’utilisateur Saim Raza – la même identité qui proxénète les outils de spam de Fud Co depuis près d’une décennie maintenant.

« Après [a] depuis longtemps, Mailwizz est prêt », a écrit Shahzad en légende de la photo :

Le patron de We Code Solutions, Rameez Shahzad, a publié sur Facebook une capture d’écran d’une personne connectée à un site WordPress avec le nom d’utilisateur Saim Raza, la même identité cybercriminelle qui a colporté l’empire du spam FudTools pendant plus de 10 ans.

Celui qui contrôlait l’identité du cybercriminel de Saim Raza avait un penchant pour la réutilisation du même mot de passe (« lovertears ») sur des dizaines d’adresses e-mail de Saim Raza. L’une des variantes d’adresse e-mail préférées de Saim Raza était « [email protected][pick ISP here]”. Une autre adresse e-mail annoncée par Saim Raza était « [email protected] ».

Il n’était donc pas surprenant de voir Rameez Shahzad publier une capture d’écran sur son compte Facebook du bureau de son ordinateur, qui montre qu’il est connecté à un compte Skype qui commence par le nom « jeu ». et un compte Gmail commençant par « bluebtc ».

Image : Scylla Intel

BreachTrace a tenté de joindre We Code Solutions via l’adresse e-mail de contact sur son site Web – [email protected][.]pk – mais le message a rebondi, disant qu’il n’y avait pas une telle adresse. De même, un appel au numéro de téléphone de Lahore indiqué sur le site Web a produit un message automatisé indiquant que le numéro n’est pas en service. Aucun des employés de We Code Solutions contactés directement par e-mail ou par téléphone n’a répondu aux demandes de commentaires.

ÉCHEC EN CHIFFRES

Cette recherche open source sur The Manipulators et We Code Solutions est assez accablante. Mais la vraie cerise sur le gâteau Fud Co est qu’en 2019, Les Manipulateurs n’ont pas réussi à renouveler leur nom de domaine principal — manipulateurs[.]com – le même lié à tant d’opérations commerciales passées et actuelles de l’entreprise.

Ce domaine a été rapidement récupéré par Intel Scylla, une société de cyber-renseignement spécialisée dans la connexion des cybercriminels à leur identité réelle. Oups.

Co-fondateur de Scylla Sasha Angus a déclaré que les messages qui ont inondé leur boîte de réception une fois qu’ils ont mis en place un serveur de messagerie sur ce domaine ont rapidement rempli de nombreux détails qu’ils n’avaient pas déjà sur The Manipulators.

« Nous connaissons les directeurs, leurs identités réelles, où ils se trouvent, où ils traînent », a déclaré Angus. « Je dirais que nous avons plusieurs milliers de pièces à conviction que nous pourrions mettre en preuve potentiellement. Nous les avons six façons d’être dimanche comme étant les gars derrière cette identité de spammeur Saim Raza sur les forums.

Angus a déclaré que lui et un collègue chercheur avaient informé les procureurs américains en 2019 de leurs conclusions sur les manipulateurs, et que les enquêteurs avaient exprimé leur intérêt mais semblaient également dépassés par le volume de preuves qui devraient être collectées et conservées sur les activités de ce groupe.

« Je pense que l’une des choses que les enquêteurs ont trouvées difficiles dans cette affaire n’était pas qui a fait quoi, mais combien de mauvaises choses ils ont faites au fil des ans », a déclaré Angus. « Avec ces gars-là, vous continuez à descendre dans ce terrier de lapin qui n’en finit pas parce qu’il y en a toujours plus, et c’est assez étonnant. Ils sont prolifiques. S’ils avaient une sécurité opérationnelle à moitié décente, ils auraient pu vraiment réussir. Mais heureusement, ils ne le font pas.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *