Спам-империя “FudCo” связана с пакистанской фирмой по производству программного обеспечения

В мае 2015 года KrebsOnSecurity вкратце рассказал о “Манипуляторах” – так называлась процветающая киберпреступная группа из Пакистана, которая открыто продавала инструменты для рассылки спама и ряд услуг по созданию, размещению и развертыванию вредоносной электронной почты. Шесть лет спустя обзор сообщений этой группы в социальных сетях показывает, что она процветает, но при этом довольно плохо скрывает свою деятельность за фирмой по разработке программного обеспечения в Лахоре, которая тайно обеспечила работу целого поколения спамеров и мошенников.

Веб-сайт в 2015 году “Manipulaters Team”, группы пакистанских хакеров, скрывающихся за темной паутиной под ником “Саим Раза”, который продает инструменты и услуги для рассылки спама и вредоносных программ.

Основным брендом Manipulaters в подполье является общая личность киберпреступника по имени “Саим Раза“, который в течение последнего десятилетия на десятках киберпреступных сайтов и форумов продавал популярные услуги по рассылке спама и фишингу под разными названиями “Fudtools“, “Fudpage“, “Fudsender” и т. д.

Общий акроним почти во всех доменах Саима Разы за эти годы – “FUD” – означает “Fully Un-Detectable“, и относится к киберпреступным ресурсам, которые ускользают от обнаружения средствами безопасности, такими как антивирусное программное обеспечение или антиспамовые устройства.

Один из нескольких современных сайтов Fudtools, управляемых “Манипуляторами”.

Текущий сайт Fud Tools Саима Разы (см. выше) предлагает фишинговые шаблоны или “мошеннические страницы” для различных популярных онлайн-сайтов, таких как Office365 и Dropbox. Они также продают продукты “Doc Exploit”, которые связывают вредоносные программы с безобидными документами Microsoft Office; “scampage hosting” для фишинговых сайтов; различные инструменты для рассылки спама, такие как HeartSender; и программное обеспечение, разработанное для того, чтобы помочь спамерам направлять свои вредоносные письма через взломанные сайты, учетные записи и сервисы в облаке.

В течение нескольких лет, вплоть до 2015 года,[email protected]было именем в регистрационных записях тысяч мошеннических доменов, которые подделывались под некоторые из ведущих мировых банков и брендов, особенно Apple и Microsoft. На этот вопрос основатель The Manipulaters Мадих-улла Риаз ответил: “Мы намеренно не размещаем и не позволяем размещать фишинговые или любые другие оскорбительные веб-сайты. Что касается фишинга, то, когда мы получаем жалобу, мы немедленно удаляем услуги. Кроме того, мы ведем бизнес с 2006 года”

ИТ-сеть компании The Manipulaters, около 2013 года. Изображение: Facebook

Два года спустя KrebsOnSecurity получил письмо от Риаза с просьбой убрать его имя и имя его делового партнера из истории 2015 года, заявив, что это повредило способности его компании поддерживать стабильный хостинг для своих доменов.

“Мы занимаемся хостингом, и из-за вашего сообщения у нас возникли очень серьезные проблемы, в частности, ни один дата-центр не принимал нас”, – написал Риаз в письме от мая 2017 года. “Я вижу, что вы написали о преступниках, которые находятся в тяжелом положении, мы не преступники, по крайней мере, нам об этом не было известно”

Риаз сказал, что проблема была в том, что биллинговая система его компании ошибочно использовала имя и контактную информацию The Manipulators вместо его клиентов в регистрационных записях WHOIS. Этот недосмотр, по его словам, привел к тому, что многие исследователи ошибочно приписали им активность, которая исходила всего лишь от нескольких недобросовестных клиентов.

“Мы тяжело работаем, чтобы заработать деньги, и это моя просьба, 2 года моего имени в вашей замечательной статье – достаточное наказание, и мы учились на своих ошибках”, – заключил он.

Манипуляторы действительно научились нескольким новым трюкам, но держать свои подпольные операции в тайне от реальной жизни, к сожалению, не входит в их число.

НУЛЕВАЯ ОПЕРАЦИОННАЯ БЕЗОПАСНОСТЬ

Фишинговые доменные имена, зарегистрированные на The Manipulaters, включали адрес в Карачи с номером телефона 923218912562. Этот же номер телефона указан в записях WHOIS для 4 000+ доменов, зарегистрированных через domainprovider[.]work– домен, контролируемый The Manipulaters, который, по-видимому, является реселлером другого поставщика доменных имен.

В одном из многочисленных объявлений Саима Разы в киберпреступном подполье о его услуге Fudtools рекламируется домен fudpage[.]com, а в записях WHOIS этого домена указан один и тот же номер телефона в Карачи. В WHOIS-записях Fudpage контактное лицо указано как[email protected]“, что является еще одним адресом электронной почты, используемым The Manipulaters для регистрации доменов.

Как я отмечал в 2015 году, команда манипуляторов использовала настройки службы доменных имен (DNS) из другой откровенно мошеннической службы под названием “FreshSpamTools[.]eu“, которую предлагал один пакистанец, который также удобно продавал фишинговые наборы инструментов, предназначенные для ряда крупных банков.

В WHOIS-записях FreshSpamTools кратко указан адрес электронной почты [email protected], который соответствует адресу электронной почты Facebook-аккаунта некоего Билала “Санни” Ахмада Варрайха (он же Билал Ваддаич).

На фотографии профиля Билала Ваддаича в Facebook изображены многие нынешние и бывшие сотрудники We Code Solutions.

В профиле Варрайха на Facebook указано, что он работает специалистом по ИТ-поддержке в компании по разработке программного обеспечения в Лахоре под названием We Code Solutions.

Веб-сайт We Code Solutions.

Анализ записей хостинга для сайта компании wecodesolutions[.]pk показал, что за последние три года он делил сервер с несколькими другими доменами, включая:

-saimraza[.]tools
-fud[.]tools
-heartsender[.]net
-fudspampage[.]com
-fudteam[.]com
-autoshopscript[.]com
-wecodebilling[.]com
-antibotspanel[.]com
-sellonline[.]tools

FUD CO

Изображение профиля на странице Варрайха в Facebook – это групповая фотография нынешних и бывших сотрудников We Code Solutions. К счастью, многие из лиц на этой фотографии были отмечены и связаны с их соответствующими профилями в Facebook.

Например, в профиле Бурхана Уль Хака, он же “Бурхан Шакс“, указано, что он работает в отделе по работе с персоналом и ИТ-поддержки в We Code Solutions. Просматривая бесконечные селфи Уль Хака на Facebook, невозможно обойти вниманием серию фотографий, на которых изображены различные праздничные торты с надписью “Fud Co”, написанной глазурью.

На фотографиях Бурхана Уль Хака изображено множество тортов на тему Fud Co, которыми наслаждались сотрудники We Code Solutions на юбилее команды манипуляторов.

Да, из обзора публикаций сотрудников We Code Solutions в Facebook следует, что по крайней мере в течение последних пяти лет эта группа отмечала годовщину в мае каждого года с тортом Fud Co, безалкогольным игристым вином и вечеринкой или групповым ужином Fud Co. Давайте посмотрим на этот восхитительный торт поближе:

Главой We Code Solutions является Рамиз Шахзад, пожилой человек в центре групповой фотографии в профиле Варрайха на Facebook. Вы можете сказать, что Шахзад – босс, потому что он находится в центре практически всех групповых фотографий, которые он и другие сотрудники We Code Solutions размещают на своих страницах в Facebook.

Босс We Code Solutions Рамиз Шахзад (в солнцезащитных очках) находится в центре этой групповой фотографии, которую разместил сотрудник Бурхан Уль Хак, изображенный справа от Шахзада.

Публикации Шахзада в Facebook еще более откровенны: 3 августа 2018 года он разместил скриншот, на котором изображен человек, вошедший на сайт WordPress под именем Saim Raza – тем самым, который уже почти десять лет занимается продвижением спамерских инструментов Fud Co.

“После [долгого] времени Mailwizz готов”, – написал Шахзад в качестве подписи к фотографии:

Босс We Code Solutions Рамиз Шахзад опубликовал на Facebook скриншот, на котором запечатлен человек, вошедший на сайт WordPress под именем Saim Raza – тем самым киберпреступником, который уже более 10 лет распространяет спам империю FudTools.

Тот, кто контролировал киберпреступную личность Saim Raza, имел склонность к повторному использованию одного и того же пароля (“lovertears”) на десятках адресов электронной почты Saim Raza. Одним из любимых вариантов адресов электронной почты Саима Разы был “[email protected][укажите здесь ISP]”. Другой адрес электронной почты, рекламируемый Саимом Разой, был “[email protected]

Поэтому неудивительно, что Рамиз Шахзад опубликовал в Facebook скриншот рабочего стола своего компьютера, на котором видно, что он вошел в учетную запись Skype, начинающуюся с имени “game.”, и в учетную запись Gmail, начинающуюся с “bluebtc.”

Изображение: Scylla Intel

KrebsOnSecurity попытался связаться с We Code Solutions по контактному адресу электронной почты, указанному на ее сайте – [email protected][.]pk – но сообщение вернулось обратно, заявив, что такого адреса нет. Аналогично, звонок на телефонный номер в Лахоре, указанный на сайте, вызвал автоматическое сообщение о том, что номер не обслуживается. Никто из сотрудников We Code Solutions, с которыми можно связаться по электронной почте или телефону, не ответил на просьбу о комментарии.

ПРОВАЛ ПО НОМЕРАМ

Это исследование из открытых источников о The Manipulaters и We Code Solutions является достаточно убедительным. Но настоящей глазурью на торте Fud Co является то, что в 2019 году The Manipulaters не смогла продлить свое основное доменное имя – manipulaters[.]com – то самое, которое связано со многими прошлыми и нынешними деловыми операциями компании.

Этот домен был быстро выкуплен Scylla Intel, фирмой киберразведки, которая специализируется на установлении связи между киберпреступниками и их реальными личностями. Упс.

Соучредитель Scylla Саша Ангус сказал, что сообщения, которые наводнили их почтовый ящик, как только они установили сервер электронной почты на этом домене, быстро заполнили многие детали, которые они еще не знали о The Manipulaters.

“Мы знаем главных героев, их реальные личности, где они находятся, где тусуются”, – сказал Ангус. “Я бы сказал, что у нас есть несколько тысяч вещественных доказательств, которые мы потенциально можем приобщить к делу. Мы знаем, что они – парни, которые стоят за спамерской личиной Саима Раза на форумах”

Ангус сказал, что в 2019 году он и его коллега-исследователь рассказали американским прокурорам о своих выводах о “Манипуляторах”, и следователи проявили интерес, но в то же время казались ошеломленными объемом доказательств, которые необходимо будет собрать и сохранить о деятельности этой группы.

“Я думаю, что одна из вещей, которую следователи нашли сложной в этом деле, это не то, кто что сделал, а то, сколько всего плохого они совершили за эти годы”, – сказал Ангус. “С этими парнями вы продолжаете спускаться в кроличью нору, которая никогда не заканчивается, потому что всегда есть что-то еще, и это довольно поразительно. Они очень плодовиты. Если бы у них была хоть наполовину приличная оперативная безопасность, они могли бы стать действительно успешными. Но, к счастью, у них этого нет”

Оставьте комментарий