Des milliers de pédophiles qui téléchargent et partagent du matériel d’abus sexuel sur des enfants (CSAM) ont été identifiés grâce à des journaux de logiciels malveillants voleurs d’informations divulgués sur le dark Web, mettant en évidence une nouvelle dimension de l’utilisation des informations d’identification volées dans les enquêtes des forces de l’ordre.

La nouvelle utilisation de l’ensemble de données a été menée par le groupe Insikt de Recorded Future, qui a partagé un rapport expliquant comment ils ont identifié 3 324 comptes uniques qui ont accédé à des portails illégaux connus pour distribuer du CSAM.

En exploitant d’autres données volées à la cible, les analystes d’Insikt pouvaient suivre ces comptes jusqu’aux noms d’utilisateur sur diverses plates-formes, dériver leurs adresses IP et même des informations système.

Ces informations recueillies par le Groupe Insikt ont été partagées avec les forces de l’ordre pour démasquer l’identité de ces personnes et procéder à des arrestations.

Utiliser les journaux de voleur pour de bon
Un journal de voleur est une collection de données volées à un individu particulier par des logiciels malveillants voleurs d’informations, tels que Redline, Raccoon et Vidar, à partir de systèmes infectés.

Lorsque ces types de logiciels malveillants sont exécutés sur un appareil, ils collectent les informations d’identification, l’historique du navigateur, les cookies du navigateur, les données de remplissage automatique, les informations sur le portefeuille de crypto-monnaie, les captures d’écran et les informations système.

Les informations sont ensuite regroupées dans une archive appelée « journal », qui est ensuite retransmise aux serveurs de l’auteur de la menace.

Les auteurs de menaces peuvent ensuite utiliser ces informations d’identification volées pour pirater d’autres comptes, mener des attaques d’entreprise ou les vendre à d’autres cybercriminels sur le Dark Web, Telegram et d’autres plateformes. En raison de leur taille et de leur nombre, ces bûches sont rarement examinées et classées, mais plutôt vendues en vrac.

Des analyses antérieures ont montré que les journaux de vol d’informations peuvent contenir des données de compte d’entreprise cruciales ou des informations d’identification pour des comptes pouvant exposer des informations propriétaires.

Comme ce type de malware est couramment distribué via des logiciels piratés, des publicités malveillantes et de fausses mises à jour, ils peuvent siphonner les données des systèmes infectés pendant de longues périodes sans que la victime s’en rende compte.

Cela inclut les utilisateurs de CSAM qui, à leur insu, exposent toutes les informations d’identification de leurs comptes bancaires en ligne, e-mails et autres comptes légitimes, ainsi que les informations d’identification de compte utilisées pour accéder aux sites CSAM qui nécessitent une inscription.

Identifier les consommateurs de CSAM
Les analystes d’Insikt ont utilisé les journaux d’infostealer capturés entre février 2021 et février 2024 pour identifier les consommateurs CSAM en croisant les informations d’identification volées avec vingt domaines CSAM connus.

Ils ont ensuite supprimé les doublons pour réduire les résultats à 3 324 paires nom d’utilisateur-mot de passe uniques.

Comptes liés à des sites FRAUDULEUX connus

Comme les logiciels malveillants voleurs d’informations volent toutes les informations d’identification enregistrées dans un navigateur, les chercheurs ont pu relier les titulaires de comptes CSAM à leurs comptes en ligne légaux, tels que les e-mails, les opérations bancaires, les achats en ligne, les opérateurs mobiles et les réseaux sociaux.

Ils ont ensuite utilisé l’intelligence open source (OSINT) et des artefacts numériques pour recueillir des informations plus révélatrices sur ces utilisateurs. Ces indices incluent:

  • Adresses de portefeuille de crypto-monnaie et historiques de transactions.
  • Comptes Web non-CSAM et historique de navigation.
  • Adresses physiques, noms complets, numéros de téléphone et adresses e-mail extraits des données de remplissage automatique du navigateur.
  • Associations avec divers services en ligne, tels que des comptes de médias sociaux, des sites Web gouvernementaux et des portails de demande d’emploi.

Le rapport de Recorded Future met en évidence trois cas d’individus identifiés, résumés comme suit:

  1. « d * * * * » – Résident de Cleveland, Ohio précédemment condamné pour exploitation d’enfants et enregistré comme délinquant sexuel. Maintient des comptes sur au moins quatre sites CSAM.
  2. « docto – – résident de l’Illinois qui fait du bénévolat dans des hôpitaux pour enfants et a un record de vols au détail. Maintient des comptes sur neuf sites Web CSAM.
  3. « Bertty – – Probablement un étudiant vénézuélien qui maintient des comptes sur au moins cinq sites CSAM. L’historique des transactions de crypto-monnaie implique l’utilisateur avec l’achat et la distribution potentiels de contenu CSAM.
Profil du médecin tel que reconstruit par l’analyse du journal d’infostealer

L’analyse des instincts met en évidence le potentiel des données d’infostealer pour aider les forces de l’ordre à suivre le suivi de la maltraitance des enfants et à poursuivre les individus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *