L’escroquerie par e-mail de sextorsion du mois dernier qui invoquait un vrai mot de passe utilisé par chaque destinataire et menaçait de diffuser des vidéos embarrassantes de la webcam n’était certainement pas l’œuvre d’un criminel ou même d’un groupe de criminels. Au contraire, il est probable que d’autres spammeurs et escrocs se soient empilés avec leurs propres versions de l’e-mail de phishing après avoir remarqué que certains destinataires payaient en fait. La vérité est que nous ne saurons peut-être jamais qui est responsable, mais c’est toujours amusant de suivre des pistes prometteuses et de voir où elles nous mènent.
Le 7 août 2018, un utilisateur sur le forum du service de messagerie gratuit hMailServer a publié une copie de l’e-mail de sextorsion qu’il a reçu, notant qu’il comprenait un mot de passe qu’il utilisait auparavant en ligne.
Heureusement, cet utilisateur a collé une grande quantité d’informations à partir du message de spam, y compris le nom de domaine à partir duquel il a été envoyé (williehowell-point-com) et l’adresse Internet du serveur qui a envoyé le message (46.161.42.91).
Un regard sur les autres noms de domaine enregistrés sur ce bloc d’adresses IP 46.161.42.x révèle quelques modèles intéressants :
46.161.42.51 mail25.uscourtsgov[.]com
46.161.42.52 mail24.uscourtsgov[.]com
46.161.42.53 mail23.uscourtsgov[.]com
46.161.42.54 mail22.uscourtsgov[.]com
46.161.42.55 mail21.uscourtsgov[.]com
46.161.42.56 mail20.uscourtsgov[.]com
46.161.42.57 mail19.uscourtsgov[.]com
46.161.42.58 mail18.uscourtsgov[.]com
46.161.42.59 mail17.uscourtsgov[.]com
46.161.42.60 mail16.uscourtsgov[.]com
46.161.42.61 mail15.uscourtsgov[.]com
46.161.42.62 mail14.uscourtsgov[.]com
46.161.42.63 mail13.uscourtsgov[.]com
46.161.42.64 mail12.uscourtsgov[.]com
46.161.42.65 mail11.uscourtsgov[.]com
46.161.42.66 mail10.uscourtsgov[.]com
46.161.42.67 mail9.uscourtsgov[.]com
46.161.42.68 mail8.uscourtsgov[.]com
46.161.42.69 mail7.uscourtsgov[.]com
46.161.42.70 mail6.uscourtsgov[.]com
46.161.42.71 mail5.uscourtsgov[.]com
46.161.42.72 mail4.uscourtsgov[.]com
46.161.42.73 mail3.uscourtsgov[.]com
46.161.42.74 mail2.uscourtsgov[.]com
46.161.42.75 mail1.uscourtsgov[.]com
46.161.42.76 courrier[.]commarysmith[.]com
46.161.42.77 mail.joancooper[.]com
46.161.42.78 mail.florencewoods[.]com
46.161.42.79 mail.ednawest[.]com
46.161.42.80 mail.ethelwebb[.]com
46.161.42.81 mail.eleanorhunt[.]com
46.161.42.82 mail.sallypierce[.]com
46.161.42.83 mail.reginaberry[.]com
46.161.42.84 mail.junecarroll[.]com
46.161.42.85 mail.robertaharper[.]com
46.161.42.86 mail.reneelane[.]com
46.161.42.87 mail.almaaustin[.]com
46.161.42.88 mail.elsiekelley[.]com
46.161.42.89 mail.vickifields[.]com
46.161.42.90 mail.ellaoliver[.]com
46.161.42.91 mail.williehowell[.]com
46.161.42.92 mail.veramccoy[.]com
46.161.42.93 mail.agnesbishop[.]com
46.161.42.94 mail.tanyagilbert[.]com
46.161.42.95 mail.mattiehoffman[.]com
46.161.42.96 mail.hildahopkins[.]com
46.161.42.97 beckymiles[.]com
46.161.42.98 mail.fayenorris[.]com
46.161.42.99 mail.joannaleonard[.]com
46.161.42.100 mail.rosieweber[.]com
46.161.42.101 mail.candicemanning[.]com
46.161.42.102 mail.sherirowe[.]com
46.161.42.103 mail.leticiagoodman[.]com
46.161.42.104 mail.myrafrancis[.]com
46.161.42.105 mail.jasminemaxwell[.]com
46.161.42.106 mail.eloisefrançais[.]com
Rechercher Google pour l’un de ces domaines à deux noms ci-dessus (par exemple, fayenorris-dot-com) et vous verrez que pratiquement tous ont été utilisés dans ces e-mails de sextorsion, et la plupart ont été enregistrés fin mai 2018 via le registraire de domaine Namecheap.
Remarquez la prépondérance du domaine uscourtsgov-dot-com dans la liste ci-dessus. Tous ces domaines à deux noms utilisés serveurs de noms de domaine (serveurs DNS) de uscourtsgov-dot-com au moment où ces e-mails ont été envoyés. Début juin 2018, uscourtsgov-dot-com était associé à une escroquerie Sigma ransomware diffusée via spam. Les victimes qui voulaient récupérer leurs fichiers devaient payer une rançon en bitcoins.
Dans les mois qui ont précédé l’escroquerie de sextorsion avec mot de passe ou l’escroquerie de rançongiciel uscourtsgov-dot-com, uscourtsgov-com était dépourvu de contenu, à l’exception d’un message faisant la promotion des services de spam du site Web. mtaexpert-point-info. Uscourtsgov-dot-com est maintenant hors ligne, mais il était actif depuis deux semaines. Voici à quoi ressemblait sa page d’accueil :
Fait intéressant, ce même message faisant la promotion de mtaexpert-dot-info est apparu sur les pages d’accueil de nombreux autres noms de domaine à deux noms mentionnés ci-dessus (y compris fayenorris-dot-com) :
Dans l’espace de livraison de courrier électronique, MTA signifie agent de transfert de courrier, et cette société MTA Expert est essentiellement un service de spam anonyme. La capture d’écran ci-dessous provient d’une archive Internet copie en cache de mtaexpert-dot-info:
Mtaexpert-dot-info ne divulgue pas le propriétaire du site, et les enregistrements d’enregistrement WHOIS actuels pour le domaine sont obscurcis par les services de confidentialité. Mais grâce à une recherche d’enregistrement WHOIS historique sur Domaintools.com [full disclosure: Domaintools is an advertiser on this site]nous pouvons voir que pendant environ une semaine en mai 2018, le voile de confidentialité WHOIS est brièvement tombé et a révélé l’enregistrement suivant :
Nom du titulaire : HICHAM AALLAM
Organisation déclarante : investissonsorg
Inscrit Rue : RED ANASS BLOC 26 N 3 ROUTE DE TETOUANE
Ville du déclarant : TANGER
Etat/Province du Déclarant : Tanger-Tétouan
Code postal du titulaire : 90001
Pays du titulaire : MA
Téléphone du titulaire : +212.626280317
Poste de téléphone du titulaire :
Télécopieur du titulaire :
Poste de télécopie du titulaire :
Courriel du titulaire : [email protected]
Qui est Hicham Aallam? Selon sa page LinkedInil est un spécialiste du marketing par e-mail vivant au Maroc et travaillant pour une société appelée Réseau solaire actif. Son CV indique qu’il travaille également pour AdGenicsqui selon le groupe anti-spam Spamhaus est une opération de spam bien connue avec une histoire longue et sordide. AdGenics, alias Réseaux Cabo alias Logique SIFTest actuellement numéro six sur Spamhaus’ Liste des dix pires spammeurs.
Contacté via LinkedIn, Aallam a déclaré qu’il ignorait que son service de messagerie était utilisé dans les campagnes de sextorsion ou de ransomware liées aux domaines susmentionnés. Il a déclaré qu’une publicité pour Mtaexpert-dot-info s’affichait automatiquement sur la page d’accueil de tout site configuré pour utiliser ses scripts d’envoi d’e-mails.
Aallam dit qu’il facture aux clients l’utilisation de ces scripts, mais qu’il n’avait qu’un seul client semi-récent : une personne qui l’a contacté en utilisant le nom Skype « brian.ortega_4 » a payé environ 250 $ de la crypto-monnaie. Ethereum (ETH) le 3 avril 2018 pour une licence sur le script de mailing de MTA Experts. Voici un enregistrement de cette transaction. Toutes les transactions ETH attribuées à et depuis ce compte peuvent être vues ici.
D’accord, nous ne savons toujours pas qui est responsable de l’envoi de certains de ces e-mails de sextorsion, et cela pourrait bien être l’un des autres clients d’Aallam derrière ces deux stratagèmes. Néanmoins, il est toujours fascinant de voir jusqu’où l’on peut aller juste en suivant quelques fils d’Ariane.
Un dernier fil d’Ariane à suivre : l’espace d’adressage Internet occupé par uscourtsgov-dot-com et les domaines liés à la sextorsion – 46.161.42.0/24. En mai 2018, RiskIQ publié un rapport détaillé (PDF) sur un stratagème de phishing complexe qui utilisait une adresse adjacente à uscourtsgov-dot-com dans le but de voler Ethereum à MonEtherWallet utilisateurs.
Le propriétaire enregistré de l’espace d’adressage Internet est un « Barbarich_Viacheslav_Yuryevich« , qui est le même nom que le propriétaire du réseau AS41995alias web-shield-dot-biz.
Un bloc d’adresses différent que nous pouvons voir dans le graphique ci-dessus attribué à Web-Shield – 146.185.241.0/24 – contient un camion métrique de domaines impliqués dans la vente de cartes de crédit volées.
Les lecteurs fidèles de ce site y remarqueront un domaine familier : Réscateur. Il appartient à un cybercriminel chevronné du même nom qui a été étroitement lié aux violations de Target et Sally Beauty, entre autres. À ce jour – près de quatre ans après la violation de Target – la page d’accueil du magasin de cartes volées de Rescator comprend une photo de Yours Truly sous la forme d’un timbre-poste indiquant « Comme annoncé par Meguetaoui Amine ».
BreachTrace tient à remercier le chercheur en sécurité Troy Mursch et le croisé anti-spam Ron Guilmette pour leur aide dans cette recherche.