Brasilianer im russischen Untergrund

Originalartikel von Trend Micro


Das Überwachen des cyberkriminellen Untergrunds führt manchmal entlang interessanter Wege. Kürzlich fanden die Bedrohungsforscher von Trend Micro einen Eintrag in einem russischen Untergrundforum, welcher zur Entdeckung von mehr als 136.000 gestohlener Kreditkarten-Zugangsdaten führte.
Der Pfad startete bei dem folgenden Eintrag in einem russischen Untergrundforum:

Bild 1. Eintrag in Untergrundforum

Der Eintrag, in dem der Nutzer acmpassagens um Hilfe bat bei der berüchtigten Point-of-Sale (PoS)-Schadsoftware-Familie Virtual Skimmer, war nicht ungewöhnlich. Dennoch fielen zwei Dinge auf. Zwar war der Eintrag auf Russisch verfasst, doch der Autor war kein Muttersprachler, denn die Syntax stimmte nicht. Auch behauptete der Schreiber, er habe Zugriff auf mehr als 400 PoS-Terminals in Tankstellen und Läden – in Brasilien. Es handelt sich also mutmaßlich um einen Brasilianer, der in einem russischen Untergrundforum Fragen stellte.

Er hinterließ sowohl seine E-Mail-Adresse als auch Skype-Adresse (acmpassagens). In Kombination mit dem Nutzernamen lassen sich einige weitere Online-Aktivitäten verfolgen. Beispielsweise antwortete er in einem offiziellen Microsoft-Forum auf eine Frage über Kreditkartenleser mit einem Angebot, Software zu verkaufen:

Bild 2. Eintrag in Microsoft Developer Network (MSDN)

Videos bezüglich Abschöpfens von Karten enthielten seine E-Mail-Adresse, sodass diejenigen, die „dem Geschäft beitreten“ wollen, ihn auch direkt kontaktieren können.

Bild 3. Youtube Video

Ursprünglich gab es jedoch nichts Online, was dabei helfen konnte, die Identität von acmpassagens aufzudecken. Dann aber half sorgfältige Google-Suche, die zu einem Konto führte, das acmpassagens im Online-Speicherdienst 4shared nutzte. Mehr noch, der gesamte Inhalt des Kontos (ein GB) war für jeden offen, der einen Internet-Zugang hatte, hne dass Nutzername oder Passwort erforderlich war.


Bild 4 und 5. Öffentlich zugängliches 4shared-Konto

Die Dateien im Konto enthielten einen Log der cyberkriminellen Aktivitäten von acmpassagens. Sie enthielten Schadsoftware, Phishing Templates und verschiedene Dokumente mit augenscheinlich persönlichen Informationen von Cybekriminellen, Komplizen und Opfern.

Einige dieser Dokumente mögen vielleicht nicht authentisch sein, doch gab es private Informationen bezüglich der Strohmänner, einschließlich gescannter Reisepässe und offizieller brasilianischer Ausweise. Es ist schwer festzustellen, ob diese Dokumente tatsächlichen Personen gehören oder ob es Fälschungen sind, denn es gab auch Photoshop-Dateien für gefälschte Pässe in 4shared. Zusätzlich fanden die Forscher eine Aufnahme eines VoIP-Telefonats zwischen einem Strohmann und dem Verdächtigen.

Bild 6. Aufgenommener VoIP-Anruf

Im Konto waren auch 136.000 Kreditkartennummern für die spätere Verwendung gespeichert.

Tabelle mit den gestohlenen Karten

Des Weiteren fanden sich im Konto auch Angriffs-Tools. Es gab eine PoS-Schadsoftware, die zu Virtual Skimmer gehört, und BlackPOS-Familien. Zwei weitere Dateien hätten der Verarbeitung der gestohlenen Karteninformationen dienen sollen, wobei die eine Kreditkarten mit den gestohlenen Informationen erzeugt und die andere die Kreditkartennummern verifiziert. Diese ist als T3ST4D0R C0D3R (CC VALIDA) bekannt.

Bild 7. Phishing Site

Eines der Phishing Templates war auf die infizierte Website eines brasilianischen Restaurants und Shops hochgeladen worden. Die Dateien auf der Site können zwei Gruppen zugeordnet werden: Dateien von 2011, als die Site zum letzten Mal geändert wurde, und solche von 2014, als die Phishing Templates hochgeladen wurden.

Fazit

In der Vergangenheit arbeiteten die Cyberkriminellen in eigenen Gruppen. Es gab eine separate russische Untergrund-Gemeinschaft, eine lateinamerikanische usw. Nun scheinen die Kriminellen übergreifend aktiv zu werden und kombinieren verschiedene Tools und Ressourcen. Damit werden die Angriffe wirklich global ausgeführt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.