Una pandilla cibernética de palabra rusa conocida como Crazy Evil se ha relacionado con más de 10 estafas de redes sociales activas que aprovechan una amplia viso de señuelos a medida para engañar a las víctimas y engañarlas para que instalaran malware como Stealc, Atomic Macos Stealer (todavía conocido como Amos) y. Drenador de aquel.
“Especializado en fraude de identidad, robo de criptomonedas y malware que roba información, Crazy Evil emplea una red de traficantes admisiblemente coordinada: expertos en ingeniería social encargados de redirigir el tráfico lícito a las páginas de phishing maliciosas”, dijo el corro Insikt de Future en un prospección.
El uso de un corro de crptocam del atarazana de malware diverso es una señal de que el actor de amenaza está dirigido a usuarios de sistemas Windows y MacOS, lo que representa un aventura para el ecosistema financiero descentralizado.
Se ha evaluado que Crazy Evil está activo desde al menos 2021, que funciona principalmente como un equipo de traficante encargado de redirigir el tráfico lícito a las páginas de destino maliciosas operadas por otras tripulaciones criminales. Supuestamente dirigido por un actor de amenaza conocido en Telegram como @abrahamcrazyevil, sirve a más de 4,800 suscriptores en la plataforma de correo (@CrazyEvilCorp) a partir de la escritura.
“Monetizan el tráfico a estos operadores de botet que tienen la intención de comprometer a los usuarios ampliamente, o específicamente a una región, o un sistema activo”, dijo la compañía francesa de seguridad cibernética Sekoia en un documentación de profundidad sobre los servicios de traficantes en agosto de 2022.
“Por lo tanto, el principal desafío que enfrenta el traficante es difundir tráfico de entrada calidad sin bots, no detectados o analizados por los proveedores de seguridad, y finalmente filtrado por el tipo de tráfico. En otras palabras, la actividad de los traficantes es una forma de gestación de leads”.
A diferencia de otras estafas que giran en torno a la creación de sitios de compras falsificados para allanar las transacciones fraudulentas, Crazy Evil se centra en el robo de activos digitales que involucran tokens no fungibles (NFT), criptomonedas, tarjetas de suscripción y cuentas bancarias en serie. Se estima que ha generado más de $ 5 millones en ingresos ilícitos y comprometió decenas de miles de dispositivos a nivel mundial.
Incluso ha yeguada una nueva prominencia a raíz de las estafas de salida que involucran a otros dos grupos de delitos cibernéticos Markopolo y Cryptolove, los cuales fueron identificados previamente por Sekoia como responsables de una campaña de ClickFix utilizando páginas falsas de Google Meet en octubre de 2024.
“Crazy Evil victimiza explícitamente el espacio de criptomonedas con señuelos de phishing de asta a medida”, dijo el futuro fototipia. “Los traficantes malvados locos a veces tardan días o semanas de tiempo de inspección para alcanzar las operaciones de trascendencia, identificar objetivos e iniciar compromisos”.
Adicionalmente de orquestar cadenas de ataque que entregan robadores de información y drenadores de billeteras, los administradores del corro afirman ofrecer manuales de instrucciones y orientación para sus formadores y servicios de Crypter para cargas avíos maliciosas y vanagloriarse de una estructura afiliada para delegar las operaciones.
Crazy Evil es el segundo corro de delitos cibernéticos luego de Telekopye en ser expuesto en los últimos abriles, y centra sus operaciones en torno a Telegram. Los afiliados recién reclutados están dirigidos por un bot de telegrama controlado por el actor de amenaza a otros canales privados –
- Pagosque anuncia ganancias para los traficantes
- Troncoque proporciona un rastra de auditoría de ataques de robador de información, detalles sobre datos robados y si los objetivos son víctimas repetidas
- Informaciónque proporciona actualizaciones administrativas y técnicas regulares para los traficantes
- Chat enteroque sirve como un espacio de comunicación principal para discusiones que van desde el trabajo hasta los memes
Se ha descubierto que el corro de delitos cibernéticos comprende seis submarcados, Avland, tipado, Deland, Zomland, Defi y Kevland, cada uno de los cuales se ha atribuido a una estafa específica que implica engañar a las víctimas para instalar la utensilio de sitios web falsos,
- Renuncia (todavía conocido como avs | rg o venganza), que aprovecha la propuesta de trabajo y las estafas de inversión para propagar a los robadores de strealc y amos bajo la apariencia de una utensilio de comunicación Web3 señal Voxium (“Voxiumcalls (.) Com”)
- Escritoque propaga al robador de Amos bajo la apariencia de un software de inteligencia sintético llamado Typerdex (“Typerdex (.) ai”)
- Delandarque propaga al robador de Amos bajo la apariencia de una plataforma de explicación comunitario señal Demeet (“Demeet (.) Aplicación”)
- Zoomlandque aprovecha las estafas genéricas que se hacen sobrevenir por teleobjetivo y wechat (“app-whechat (.) com”) para propagar el robador de amos
- Defique propaga al robador de Amos bajo la apariencia de una plataforma de diligencia de activos digitales señal Selenium Finance (“Selenium (.) Fi”)
- Kevlandque propaga al robador de Amos bajo la apariencia de un software de reunión potencial mejorado con AI llamado Gatherum (“Gatherum (.) Ca”)
“A medida que Crazy Evil continúa alcanzando el éxito, es probable que otras entidades cibercriminales emulen sus métodos, lo que lleva a los equipos de seguridad a permanecer perpetuamente atentos para evitar infracciones generalizadas y rozamiento de la confianza interiormente de los sectores de criptomonedas, juegos y software”, dijo el futuro registrado.
El explicación se produce cuando la compañía de seguridad cibernética expuso un sistema de distribución de tráfico (TDS) denominado TAG-124, que se superpone con los grupos de actividad conocidos como Landupdate808, 404 TDS, Kongtuke y Chaya_002. Se ha descubierto que los grupos de amenazas múltiples, incluidos los asociados con el ransomware de Rhysida, el ransomware entrelazado, la embuscada de TA866/Asylum, el cargador D3F@CK y TA582 usan los TD en sus secuencias de infección iniciales.
“TAG-124 comprende una red de sitios de WordPress comprometidos, servidores de carga útil controlados por actores, un servidor central, un servidor de empresa sospechoso, un panel adicional y otros componentes”, dijo. “Si los visitantes cumplen con criterios específicos, los sitios web comprometidos de WordPress muestran las páginas de destino de Google Chrome de Google Chrome, que finalmente conducen a infecciones por malware”.
El futuro registrado todavía señaló que el uso compartido de TAG-124 refuerza la conexión entre las cepas de ransomware de Rhysida y el enclavamiento, y que las variaciones recientes de las campañas TAG-124 han utilizado la técnica ClickFix de instruir a los visitantes que ejecutaran un comando precopado a su portapapeles iniciar la infección por malware.
Algunas de las cargas avíos desplegadas como parte del ataque incluyen REMCOS RAT y Cleanuploader (todavía conocido como Broomstick o Oyster), el final de los cuales sirve como un conducto para Ransomware Rhysida y Interlock.
Los sitios de WordPress comprometidos, por un total de más de 10,000, todavía se han descubierto que actúa como un canal de distribución para Amos y Socgholish como parte de lo que se ha descrito como un ataque del banda del cliente.
“JavaScript cargado en el navegador del agraciado genera la página falsa en un iframe”, dijo el investigador de C/supletorio Himanshu Anand. “Los atacantes usan versiones y complementos anticuados de WordPress para dificultar la detección de sitios web sin una utensilio de monitoreo del banda del cliente”.
Adicionalmente, los actores de amenaza han utilizado la confianza asociada con plataformas populares como Github para encajar instaladores maliciosos que conducen al despliegue de Lumma Stealer y otras cargas avíos como Sectoprat, Vidar Stealer y Cobalt Strike Beacon.
La actividad de Trend Micro exhibe superposiciones significativas con tácticas atribuidas a un actor de amenaza denominado Goblin de Stargazer, que tiene un historial de uso de repositorios de GitHub para la distribución de la carga útil. Sin secuestro, una diferencia crucial es que la condena de infección comienza con sitios web infectados que redirigen a los enlaces de tiro de Github maliciosos.
“El método de distribución de Lumma Stealer continúa evolucionando, con el actor de amenaza que ahora usa repositorios de GitHub para mantener malware”, dijeron los investigadores de seguridad Buddy Tancio, Fe Cureg y Jovit Samaniego.
“El maniquí de malware como servicio (MAAS) proporciona a los actores maliciosos un medio rentable y accesible para ejecutar ataques cibernéticos complejos y alcanzar sus objetivos maliciosos, aliviando la distribución de amenazas como el robador de Lumma”.
