Se ha observado que un actor de delito cibernético novato aprovecha los servicios de un proveedor de alojamiento a prueba de balas (BPH) ruso llamado Proton66 para solucionar sus operaciones.
Los hallazgos provienen de Domainteols, que detectó la actividad posteriormente de descubrir un sitio web ficticio llamado CyberseCureProtect (.) Com organizado en Proton66 que se disfrazó de un servicio antivirus.
La firma de inteligencia de amenazas dijo que identificó una rotura de seguridad operativa (OPSEC) en el dominio que dejó su infraestructura maliciosa expuesta, revelando así las cargas bártulos maliciosas organizadas en el servidor.
“Esta revelación nos llevó a una refugio de conejo en las operaciones de un actor de amenaza emergente conocido como Coquettte, un alojamiento entusiasta a los bullets aficionados de Proton66 para distribuir malware y participar en otras actividades ilícitas”, dijo en un crónica compartido con The Hacker News.
Proton66, igualmente vinculado a otro servicio de BPH conocido como Prospero, se ha atribuido a varias campañas que distribuyen malware de escritorio y Android como Gootloader, Matanbuchus, Spynote, Coper (igualmente conocido como OCTO) y Socgholish. Las páginas de phishing alojadas en el servicio se han propagado a través de mensajes SMS para engañar a los usuarios para que ingresen sus credenciales bancarias e información de la maleable de crédito.
Coquettte es uno de esos actores de amenaza que aprovecha los beneficios ofrecidos por el ecosistema PROTON66 para distribuir malware bajo la apariencia de herramientas antivirus legítimas.
Esto toma la forma de un archivo ZIP (“Cybersecure Pro.zip”) que contiene un instalador de Windows que luego descarga un malware de segunda etapa de un servidor remoto responsable de entregar cargas de bártulos secundarias desde un servidor de comando y control (C2) (“CIA (.) TF”).
La segunda etapa es un cargador clasificado como Rugmi (igualmente conocido como Penguish), que se ha utilizado en el pasado para desplegar robadores de información como Lumma, Vidar y Raccoon.
Un descomposición posterior de las huellas digitales de Coquettte descubrió un sitio web personal en el que afirman ser un “ingeniero de software de 19 abriles, buscando un título en avance de software”.
Encima, el dominio TF CIA (.) Se ha registrado con la dirección de correo electrónico “root@coquettte (.) Com”, confirmando que el actor de amenaza controlaba el servidor C2 y operaba el sitio de ciberseguridad ficticio como un centro de distribución de malware.
“Esto sugiere que Coquettte es un individuo verde, posiblemente un estudiante, que se alinea con los errores de aficionados (como el directorio libre) en sus esfuerzos de delitos cibernéticos”, dijo Domaindools.
Las empresas del actor de amenaza no se limitan al malware, ya que igualmente han estado ejecutando otros sitios web que venden guías para imaginar sustancias y armas ilegales. Se cree que Coquettte está tenuemente enlazado a un comunidad de piratería más amplio que se ardor Horrid.
“El patrón de infraestructura superpuesta sugiere que los individuos detrás de estos sitios pueden referirse a sí mismos como ‘horribles’, siendo Coquettte un seudónimo de uno de los miembros en extensión de un actor solitario”, dijo la compañía.
“La afiliación del comunidad con múltiples dominios vinculados al delito cibernético y el contenido ilícito sugiere que funciona como una incubadora para inspirar o cibercriminarios aficionados, proporcionando posibles e infraestructura a aquellos que buscan establecerse en círculos de piratería subterráneos”.
