En mai 2015, BreachTrace a brièvement décrit « Les Manipulateurs», le nom choisi par un groupe prolifique de cybercriminalité basé au Pakistan qui vendait très publiquement des outils anti-spam et une gamme de services pour créer, héberger et déployer des e-mails malveillants. Six ans plus tard, un examen des publications sur les réseaux sociaux de ce groupe montre qu’ils prospèrent, tout en cachant plutôt mal leurs activités derrière une société de développement de logiciels à Lahore qui a secrètement permis à toute une génération de spammeurs et d’escrocs.
La marque principale des Manipulateurs dans l’underground est une identité cybercriminelle partagée nommée « Saïm Raza», qui, au cours de la dernière décennie, sur des dizaines de sites et de forums de cybercriminalité, a colporté un service populaire de spam et de phishing appelé «Fudtools, » « Fudpage, » « Expéditeur, » etc.
L’acronyme commun dans presque tous les domaines de Saim Raza au fil des ans – « FUD » – signifie « Fully tun-réectable », et il fait référence aux ressources de cybercriminalité qui échapperont à la détection par les outils de sécurité comme les logiciels antivirus ou les dispositifs anti-spam.
Le site Web actuel de Fud Tools de Saim Raza (ci-dessus) propose des modèles d’hameçonnage ou des « pages frauduleuses » pour une variété de sites en ligne populaires tels que Bureau 365 et Boîte de dépôt. Ils vendent également des produits « Doc Exploit » qui regroupent des logiciels malveillants avec des documents Microsoft Office inoffensifs ; « hébergement de scampage » pour les sites de phishing ; une variété d’outils anti-spam comme HeartSender ; et des logiciels conçus pour aider les spammeurs à acheminer leurs e-mails malveillants via des sites, des comptes et des services compromis dans le cloud.
Pendant les années qui ont précédé 2015, «[email protected]” était le nom sur les registres d’enregistrement de milliers de domaines frauduleux qui usurpaient certaines des plus grandes banques et marques du monde, mais en particulier Apple et Microsoft. Confronté à cela, le fondateur des Manipulateurs Madih-ullah Riaz a répondu: «Nous n’hébergeons ni n’autorisons délibérément aucun site Web de phishing ou tout autre site Web abusif. En ce qui concerne le phishing, chaque fois que nous recevons une plainte, nous supprimons immédiatement les services. De plus, nous gérons des affaires depuis 2006. »
Deux ans plus tard, BreachTrace a reçu un e-mail de Riaz demandant que son nom et celui de son partenaire commercial soient retirés de l’histoire de 2015, affirmant que cela avait nui à la capacité de son entreprise à maintenir un hébergement stable pour son écurie de domaines.
« Nous gérons une entreprise d’hébergement Web et à cause de votre message, nous avons eu de très sérieux problèmes, en particulier aucun centre de données ne nous acceptait », a écrit Riaz dans un e-mail de mai 2017. « Je peux vous voir poster sur des criminels en difficulté, nous ne sommes pas des criminels, du moins ce n’était pas à notre connaissance. »
Riaz a déclaré que le problème était que le système de facturation de son entreprise utilisait par erreur le nom et les coordonnées de The Manipulators au lieu de ses clients dans les enregistrements d’enregistrement WHOIS. Cet oubli, a-t-il dit, a amené de nombreux chercheurs à leur attribuer à tort une activité provenant de quelques mauvais clients.
« Nous travaillons dur pour gagner de l’argent et c’est ma demande, 2 ans de mon nom dans votre merveilleux article est une punition suffisante et nous avons appris de nos erreurs », a-t-il conclu.
Les Manipulateurs ont en effet appris quelques nouvelles astuces, mais garder leurs opérations souterraines à l’écart de leurs identités réelles n’en fait heureusement pas partie.
SÉCURITÉ OPÉRATIONNELLE ZÉRO
Les noms de domaine de phishing enregistrés auprès des Manipulateurs comprenaient une adresse à Karachi, avec le numéro de téléphone 923218912562. Ce même numéro de téléphone est partagé dans les enregistrements WHOIS pour plus de 4 000 domaines enregistrés via fournisseur de domaine[.]travailun domaine contrôlé par The Manipulators qui semble être un revendeur d’un autre fournisseur de noms de domaine.
L’une des nombreuses publicités de Saim Raza dans le milieu de la cybercriminalité pour son service Fudtools fait la promotion du domaine page d’accueil[.]com, et les enregistrements WHOIS de ce domaine partagent le même numéro de téléphone de Karachi. Les enregistrements WHOIS de Fudpage répertorient le contact comme « [email protected]», qui est une autre adresse e-mail utilisée par The Manipulators pour enregistrer des domaines.
Comme je l’ai noté en 2015, l’équipe des manipulateurs a utilisé les paramètres du service de nom de domaine (DNS) d’un autre service manifestement frauduleux appelé ‘FreshSpamTools[.]UE‘, qui a été offert par un compatriote pakistanais qui a également vendu des kits d’outils de phishing ciblant un certain nombre de grandes banques.
Les enregistrements WHOIS pour FreshSpamTools répertorient brièvement l’adresse e-mail [email protected]qui correspond à l’adresse e-mail d’un compte Facebook d’un Bilal « Ensoleillé » Ahmad Warraich (alias Bilal Waddaich).
Le profil Facebook de Warraich indique qu’il travaille comme spécialiste du support informatique dans une société de développement de logiciels à Lahore appelée Nous codons des solutions.
Examen des dossiers d’hébergement du site Web de l’entreprise wecodesolutions[.]paquet montrent qu’au cours des trois dernières années, il a partagé un serveur avec une poignée d’autres domaines, notamment :
-saimraza[.]outils
-fud[.]outils
-l’expéditeur du cœur[.]rapporter
-fudspampage[.]com
-fudteam[.]com
-autoshopscript[.]com
-wecodebilling[.]com
-antibotspanel[.]com
-vendre en ligne[.]outils
FUDCO
L’image de profil au sommet de la page Facebook de Warraich est une photo de groupe des employés actuels et anciens de We Code Solutions. Heureusement, de nombreux visages sur cette photo ont été tagués et associés à leurs profils Facebook respectifs.
Par exemple, le profil Facebook de Burhan Ul Haqalias « Burhan Shaxx» raconte qu’il travaille dans les relations humaines et le support informatique pour We Code Solutions. En parcourant les interminables selfies d’Ul Haq sur Facebook, il est impossible d’ignorer une série de photos présentant divers gâteaux d’anniversaire et les mots « Fud Co » écrits en glaçage sur le dessus.
Oui, d’après un examen des publications Facebook des employés de We Code Solutions, il semble que depuis au moins cinq ans, ce groupe célèbre un anniversaire chaque mois de mai avec un gâteau Fud Co, du vin mousseux sans alcool et une fête Fud Co ou dîner de groupe. Regardons de plus près ce délicieux gâteau :
Le chef de We Code Solutions semble être un type nommé Rameez Shahzad, la personne la plus âgée au centre de la photo de groupe du profil Facebook de Warraich. Vous pouvez dire que Shahzad est le patron car il est au centre de pratiquement toutes les photos de groupe que lui et d’autres employés de We Code Solutions ont publiées sur leurs pages Facebook respectives.
Les publications de Shahzad sur Facebook sont encore plus révélatrices : le 3 août 2018, il a publié une capture d’écran d’une personne connectée à un site Web sous le nom d’utilisateur Saim Raza – la même identité qui proxénète les outils de spam de Fud Co depuis près d’une décennie maintenant.
« Après [a] depuis longtemps, Mailwizz est prêt », a écrit Shahzad en légende de la photo :
Celui qui contrôlait l’identité du cybercriminel de Saim Raza avait un penchant pour la réutilisation du même mot de passe (« lovertears ») sur des dizaines d’adresses e-mail de Saim Raza. L’une des variantes d’adresse e-mail préférées de Saim Raza était « game.changer@[pick ISP here]”. Une autre adresse e-mail annoncée par Saim Raza était « [email protected] ».
Il n’était donc pas surprenant de voir Rameez Shahzad publier une capture d’écran sur son compte Facebook du bureau de son ordinateur, qui montre qu’il est connecté à un compte Skype qui commence par le nom « jeu ». et un compte Gmail commençant par « bluebtc ».
BreachTrace a tenté de joindre We Code Solutions via l’adresse e-mail de contact sur son site Web – info@wecodesolutions[.]pk – mais le message a rebondi, disant qu’il n’y avait pas une telle adresse. De même, un appel au numéro de téléphone de Lahore indiqué sur le site Web a produit un message automatisé indiquant que le numéro n’est pas en service. Aucun des employés de We Code Solutions contactés directement par e-mail ou par téléphone n’a répondu aux demandes de commentaires.
ÉCHEC EN CHIFFRES
Cette recherche open source sur The Manipulators et We Code Solutions est assez accablante. Mais la vraie cerise sur le gâteau Fud Co est qu’en 2019, Les Manipulateurs n’ont pas réussi à renouveler leur nom de domaine principal — manipulateurs[.]com – le même lié à tant d’opérations commerciales passées et actuelles de l’entreprise.
Ce domaine a été rapidement récupéré par Intel Scylla, une société de cyber-renseignement spécialisée dans la connexion des cybercriminels à leur identité réelle. Oups.
Co-fondateur de Scylla Sasha Angus a déclaré que les messages qui ont inondé leur boîte de réception une fois qu’ils ont mis en place un serveur de messagerie sur ce domaine ont rapidement rempli de nombreux détails qu’ils n’avaient pas déjà sur The Manipulators.
« Nous connaissons les directeurs, leurs identités réelles, où ils se trouvent, où ils traînent », a déclaré Angus. « Je dirais que nous avons plusieurs milliers de pièces à conviction que nous pourrions mettre en preuve potentiellement. Nous les avons six façons d’être dimanche comme étant les gars derrière cette identité de spammeur Saim Raza sur les forums.
Angus a déclaré que lui et un collègue chercheur avaient informé les procureurs américains en 2019 de leurs conclusions sur les manipulateurs, et que les enquêteurs avaient exprimé leur intérêt mais semblaient également dépassés par le volume de preuves qui devraient être collectées et conservées sur les activités de ce groupe.
« Je pense que l’une des choses que les enquêteurs ont trouvées difficiles dans cette affaire n’était pas qui a fait quoi, mais combien de mauvaises choses ils ont faites au fil des ans », a déclaré Angus. « Avec ces gars-là, vous continuez à descendre dans ce terrier de lapin qui n’en finit pas parce qu’il y en a toujours plus, et c’est assez étonnant. Ils sont prolifiques. S’ils avaient une sécurité opérationnelle à moitié décente, ils auraient pu vraiment réussir. Mais heureusement, ils ne le font pas.