Uma gangue de cibercrime de língua russa conhecida como Crazy Evil foi associada a mais de 10 golpes ativos nas redes sociais que usam uma ampla gama de iscas personalizadas para enganar vítimas e induzi-las a instalar malware como StealC, Atomic macOS Stealer (conhecido também por AMOS) e Angel Drainer.
"Especializada em fraude de identidade, roubo de criptomoedas e malware de roubo de informações, Crazy Evil emprega uma rede bem coordenada de traffers — especialistas em engenharia social encarregados de redirecionar tráfego legítimo para páginas maliciosas de phishing," disse o grupo Insikt da Recorded Future em uma análise.
O uso de um diversificado arsenal de malware por este grupo de cryptoscam é um sinal de que o ator de ameaça está mirando usuários tanto de sistemas Windows quanto macOS, representando um risco para o ecossistema de finanças descentralizadas.
Acredita-se que Crazy Evil esteja ativa desde pelo menos 2021, funcionando principalmente como uma equipe de traffer encarregada de redirecionar tráfego legítimo para páginas de destino maliciosas operadas por outras equipes criminosas.
Alegadamente gerida por um ator de ameaça conhecido no Telegram como @AbrahamCrazyEvil, serve mais de 4.800 inscritos na plataforma de mensagens (@CrazyEvilCorp) até o momento.
"Eles monetizam o tráfego para esses operadores de botnet que pretendem comprometer usuários de modo amplo, específico para uma região, ou um sistema operacional," disse a empresa francesa de cibersegurança Sekoia em um relatório detalhado sobre serviços de traffer em agosto de 2022.
O principal desafio para os traffers é, portanto, gerar tráfego de alta qualidade sem bots, não detectado ou analisado por fornecedores de segurança, e eventualmente filtrado por tipo de tráfego.
Em outras palavras, a atividade de traffers é uma forma de geração de leads.
Diferentemente de outros golpes que giram em torno da criação de sites de compras falsificados para facilitar transações fraudulentas, Crazy Evil foca no roubo de ativos digitais envolvendo tokens não fungíveis (NFTs), criptomoedas, cartões de pagamento e contas bancárias online.
Estima-se que tenha gerado mais de $5 milhões em receita ilícita e comprometido dezenas de milhares de dispositivos globalmente.
Ganhou também nova proeminência na esteira de golpes de saída envolvendo outros dois grupos de cibercrime Markopolo e CryptoLove, ambos previamente identificados pela Sekoia como responsáveis por uma campanha ClickFix usando páginas falsas do Google Meet em outubro de 2024.
"Crazy Evil vitimiza explicitamente o espaço das criptomoedas com iscas de spear-phishing sob medida," disse a Recorded Future.
Os traffers da Crazy Evil às vezes levam dias ou semanas de tempo de reconhecimento para mapear operações, identificar alvos e iniciar engajamentos.
Além de orquestrar cadeias de ataques que entregam stealers de informações e drenadores de carteira, os administradores do grupo afirmam oferecer manuais de instrução e orientação para seus taffers e serviços de crypter para payloads maliciosas, e se vangloriam de uma estrutura de afiliados para delegar as operações.
Crazy Evil é o segundo grupo de cibercrime após Telekopye a centrar suas operações em torno do Telegram.
Afiliados recém-recrutados são direcionados por um bot do Telegram controlado por ator de ameaça para outros canais privados:
-Pagamentos, que anuncia ganhos para traffers;
-Logbar, que fornece um histórico de auditoria de ataques de stealer de informações, detalhes sobre dados roubados, e se os alvos são vítimas recorrentes;
-Info, que oferece atualizações administrativas e técnicas regulares para traffers;
-Chat Global, que serve como um espaço principal de comunicação para discussões que variam de trabalho a memes.
Descobriu-se que o grupo de cibercrime é composto por seis subequipes, AVLAND, TYPED, DELAND, ZOOMLAND, DEFI e KEVLAND, cada uma atribuída a um golpe específico que envolve ludibriar vítimas para instalar a ferramenta de sites falsos:
-AVLAND (conhecida também por AVS | RG ou AVENGE), que utiliza golpes de oferta de emprego e investimento para propagar os stealers StealC e AMOS sob a fachada de uma ferramenta de comunicação Web3 chamada Voxium ("voxiumcalls[.]com");
-TYPED, que propaga o stealer AMOS sob a fachada de um software de inteligência artificial chamado TyperDex ("typerdex[.]ai");
-DELAND, que propaga o stealer AMOS sob a fachada de uma plataforma de desenvolvimento comunitário chamada DeMeet ("demeet[.]app");
-ZOOMLAND, que utiliza golpes genéricos imitando Zoom e WeChat ("app-whechat[.]com") para propagar o stealer AMOS;
DEFI, que propaga o stealer AMOS sob a fachada de uma plataforma de gestão de ativos digitais chamada Selenium Finance ("selenium[.]fi");
KEVLAND, que propaga o stealer AMOS sob a fachada de um software de reunião virtual aprimorado por IA chamado Gatherum ("gatherum[.]ca").
"À medida que Crazy Evil continua a alcançar sucesso, outras entidades criminosas cibernéticas provavelmente irão emular seus métodos, compelindo equipes de segurança a permanecerem perpetuamente vigilantes para prevenir violações generalizadas e erosão da confiança dentro dos setores de criptomoeda, jogos e software," disse a Recorded Future.
Esse desenvolvimento ocorre enquanto a empresa de cibersegurança expôs um sistema de distribuição de tráfego (TDS) denominado TAG-124, que se sobrepõe com clusters de atividade conhecidos como LandUpdate808, 404 TDS, Kongtuke e Chaya_002.
Vários grupos de ameaças, incluindo aqueles associados ao ransomware Rhysida, ransomware Interlock, TA866/Asylum Ambuscade, SocGholish, D3F@ck Loader e TA582 foram encontrados usando o TDS em suas sequências de infecção inicial.
"TAG-124 compreende uma rede de sites WordPress comprometidos, servidores de payload controlados por atores, um servidor central, um servidor de gestão suspeito, um painel adicional e outros componentes," disse.
Se os visitantes atenderem a critérios específicos, os sites WordPress comprometidos exibem páginas falsas de atualização do Google Chrome, que, por fim, levam a infecções por malware.
A Recorded Future também observou que o uso compartilhado de TAG-124 reforça a conexão entre as linhagens de ransomware Rhysida e Interlock, e que variações recentes das campanhas TAG-124 utilizaram a técnica ClickFix de instruir visitantes a executar um comando pré-copiado para sua área de transferência para iniciar a infecção por malware.
Alguns dos payloads implantados como parte do ataque incluem Remcos RAT e CleanUpLoader (também conhecido como Broomstick ou Oyster), este último atuando como um conduto para o ransomware Rhysida e Interlock.
Sites WordPress comprometidos, totalizando mais de 10.000, também foram descobertos atuando como um canal de distribuição para AMOS e SocGholish como parte do que foi descrito como um ataque do lado do cliente.
"JavaScript carregado no navegador do usuário gera a página falsa em um iframe," o pesquisador c/side Himanshu Anand disse.
Os atacantes usam versões e plugins do WordPress desatualizados para tornar a detecção mais difícil para sites sem uma ferramenta de monitoramento do lado do cliente em vigor.
Além disso, atores de ameaças aproveitaram a confiança associada a plataformas populares como o GitHub para hospedar instaladores maliciosos que levam à implantação de Lumma Stealer e outros payloads como SectopRAT, Vidar Stealer e Cobalt Strike Beacon.
A atividade da Trend Micro mostra sobreposições significativas com táticas atribuídas a um ator de ameaça referido como Stargazer Goblin, que tem um histórico de uso de repositórios GitHub para distribuição de payloads.
No entanto, uma diferença crucial é que a cadeia de infecção começa com sites infectados que redirecionam para links de lançamento maliciosos no GitHub.
"O método de distribuição de Lumma Stealer continua a evoluir, com o ator de ameaça agora usando repositórios GitHub para hospedar malware," disseram os pesquisadores de segurança Buddy Tancio, Fe Cureg e Jovit Samaniego.
O modelo malware-as-a-service (MaaS) fornece aos atores maliciosos um meio custo-efetivo e acessível de executar ataques cibernéticos complexos e alcançar seus objetivos maliciosos, facilitando a distribuição de ameaças como Lumma Stealer.
.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...