Um ator iniciante em cibercrime foi observado aproveitando os serviços de um fornecedor de hospedagem à prova de balas (bulletproof hosting - BPH) russo chamado Proton66 para facilitar suas operações.
As descobertas vêm da DomainTools, que detectou a atividade depois de descobrir um site falso chamado cybersecureprotect[.]com hospedado no Proton66 que se passava por um serviço antivírus.
A empresa de inteligência de ameaças disse que identificou uma falha de segurança operacional (OPSEC) no domínio que deixou sua infraestrutura maliciosa exposta, revelando assim os payloads maliciosos armazenados no servidor.
"Essa revelação nos levou a uma investigação profunda sobre as operações de um ator de ameaças emergente conhecido como Coquettte - um criminoso cibernético amador que aproveita a hospedagem à prova de balas do Proton66 para distribuir malware e se envolver em outras atividades ilícitas", disse em um relatório compartilhado.
Proton66, também ligado a outro serviço de BPH conhecido como PROSPERO, foi atribuído a várias campanhas distribuindo malware para desktop e Android como GootLoader, Matanbuchus, SpyNote, Coper (também conhecido como Octo) e SocGholish.
Páginas de phishing hospedadas no serviço foram propagadas via mensagens SMS para enganar usuários a inserir suas credenciais bancárias e informações de cartão de crédito.
Coquettte é um desses atores de ameaças que aproveitam os benefícios oferecidos pelo ecossistema do Proton66 para distribuir malware sob o disfarce de ferramentas antivírus legítimas.
Isso toma a forma de um arquivo ZIP ("CyberSecure Pro.zip") que contém um instalador do Windows que, então, baixa um malware de segundo estágio de um servidor remoto responsável por entregar payloads secundários de um servidor de comando e controle (C2) ("cia[.]tf").
O segundo estágio é um loader classificado como Rugmi (também conhecido como Penguish), que foi usado no passado para implantar ladrões de informações como Lumma, Vidar e Raccoon.
Uma análise mais aprofundada das pegadas digitais de Coquettte revelou um site pessoal no qual eles afirmam ser um "engenheiro de software de 19 anos, cursando um diploma em Desenvolvimento de Software." Além disso, o domínio cia[.]tf foi registrado com o endereço de email "root@coquettte[.]com", confirmando que o ator de ameaça controlava o servidor C2 e operava o site falso de cibersegurança como um hub de distribuição de malware.
"Isso sugere que Coquettte é um indivíduo jovem, possivelmente um estudante, o que se alinha com os erros amadores (como o diretório aberto) em seus empreendimentos de cibercrime", disse a DomainTools.
As empreitadas do ator de ameaça não se limitam ao malware, pois também administravam outros sites que vendem guias para a fabricação de substâncias e armas ilegais.
Acredita-se que Coquettte esteja vagamente ligado a um grupo de hacking mais amplo que se chama Horrid.
"O padrão de infraestrutura sobreposta sugere que os indivíduos por trás desses sites podem se referir a si mesmos como 'Horrid', com Coquettte sendo um apelido de um dos membros, em vez de um ator isolado", disse a empresa.
A afiliação do grupo com vários domínios ligados ao cibercrime e conteúdo ilícito sugere que funciona como um incubador para cibercriminosos aspirantes ou amadores, fornecendo recursos e infraestrutura para aqueles que procuram se estabelecer em círculos de hacking do submundo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...