Una banda di criminalità informatica di lingua russa conosciuta come Loopy Evil è stata legata a oltre 10 truffe attive sui social media che sfruttano una vasta gamma di esche su misura per ingannare le vittime e ingannali nell’installazione di malware come FurtoAtomic MacOS Stealer (aka Amos), E Drainer d’angelo.
“Specializzato in frode di identità, furto di criptovaluta e malware che stabilisce le informazioni, Loopy Evil impiega una rete ben coordinata di traffici: esperti di ingegneria sociale incaricati di reindirizzare il traffico legittimo a pagine di phishing maligna” disse in un’analisi.
L’uso di un gruppo di criptoscam arsenale di malware diversificato è un segno che l’attore delle minacce sta rivolgendo agli utenti dei sistemi Home windows e MacOS, ponendo un rischio per l’ecosistema finanziario decentralizzato.
Il male pazzo è stato valutato per essere attivo almeno dal 2021, funzionando principalmente come a squadra di traffici incaricato di reindirizzare il traffico legittimo a pagine di atterraggio dannose gestite da altri equipaggi criminali. Presumibilmente gestito da un attore di minaccia noto su Telegram come @abrahamcrazyevil, serve oltre 4.800 abbonati sulla piattaforma di messaggistica (@crazyevilcorp) come alla scrittura.
“Monetizzano il traffico verso questi operatori di botnet che intendono compromettere gli utenti ampiamente, o in particolare in una regione o in un sistema operativo”, ha dichiarato la società di sicurezza informatica francese Sekoia in un rapporto di immersione in profondità sui servizi di traffico nell’agosto 2022.
“La principale sfida che deve affrontare il traffer è quindi quella di generare traffico di alta qualità senza robotic, non rilevato o analizzato dai fornitori di sicurezza e infine filtrata dal tipo di traffico. In altre parole, l’attività dei traffici è una forma di generazione di lead.”
A differenza di Altre truffe Ciò ruota attorno alla creazione di siti di procuring contraffatti per facilitare transazioni fraudolente, Loopy Evil si concentra sul furto di risorse digitali che coinvolgono token non fischibili (NFT), criptovalute, carte di pagamento e conti bancari on-line. Si stima che abbia generato oltre $ 5 milioni di entrate illecite e decine compromesse di migliaia di dispositivi a livello globale.
Ha anche guadagnato una nuova importanza sulla scia di truffe di uscita che coinvolgono altri due gruppi di criminalità informatica Markopolo E Cryptoloveentrambi i quali erano stati precedentemente identificati da Sekoia come responsabile di un Campagna ClickFix Utilizzo di faux Google Meet Pages nell’ottobre 2024.
“Loopy Evil vittimizza esplicitamente lo spazio di criptovaluta con esche su misura per la lancia”, ha registrato Future. “I traffico di malvagie pazzi a volte prendono giorni o settimane di tempo di ricognizione per le operazioni di portata, identificano obiettivi e avviano impegni.”
Oltre alle catene di attacco orchestranti che forniscono furti di informazioni e scaricatori del portafoglio, gli amministratori del gruppo affermano di offrire manuali di istruzioni e guida per i suoi taffer e Servizi di crypter per payload dannosi e vantarsi di una struttura di affiliazione per delegare le operazioni.
Loopy Evil è il secondo gruppo di criminalità informatica dopo Telekopye essere esposto negli ultimi anni e centra le sue operazioni attorno a Telegram. Gli affiliati appena reclutati sono diretti da un bot telegramma controllato da attori di minacce advert altri canali privati -
- Pagamentiche annuncia guadagni per i traffici
- Logbarche fornisce una pista di audit di attacchi di furto di informazioni, dettagli sui dati rubati e se gli obiettivi sono ripetute vittime
- Informazioniche fornisce aggiornamenti amministrativi e tecnici regolari per i traffici
- Chat globaleche funge da spazio di comunicazione principale per le discussioni che vanno dal lavoro ai meme
È stato scoperto che il gruppo di criminalità informatica comprende sei sotto -team, Avland, digitato, Deland, Zoomland, DeFi e Kevland, ognuno dei quali è stato attribuito a una truffa specifica che coinvolge le vittime duppate nell’installazione dello strumento dai siti Internet falsi –
- Avland (aka Avs | rg o vendica), che sfrutta offerta di lavoro e truffe per gli investimenti Propagare StealC e AMOS RETE SOUND SIGLIO DI UNA STRUMENTO DI COMUNICAZIONE WEB3 Chiamato Voxium (“VoxiumCalls (.) Com”)
- Digitatoche propaga il furto di Amos sotto la maschera di un software program di intelligenza artificiale di nome Typerdex (“Typerdex (.) AI”)
- Delandche propaga il furto di Amos sotto la veste di una piattaforma di sviluppo della comunità denominata Demeet (“Demeet (.) App”)
- Zoomlandche sfrutta le truffe generiche che impersonano Zoom e WeChat (“app-whechat (.) com”) per propagare il furto di Amos
- Defiche propaga il furto di AMOS con il pretesto di una piattaforma di gestione delle risorse digitali denominata Selenium Finance (“Selenium (.) FI”)
- Kevlandche propaga il furto di Amos sotto il pretesto di un software program di incontro virtuale potenziato dall’AI chiamato Gatherum (“Gatherum (.) CA”)
“Mentre Loopy Evil continua a raggiungere il successo, è probabile che altri enti criminali emulano i suoi metodi, convincenti staff di sicurezza a rimanere perpetuamente vigili per prevenire violazioni diffuse ed erosione della fiducia all’interno della criptovaluta, dei giochi di gioco e del software program”, ha registrato il futuro.
Lo sviluppo arriva quando la società di sicurezza informatica ha esposto un TAG-124 System System (TDS), che si sovrappone ai cluster di attività noti come Landupdate808, 404 TDS, KongtukeE Chaya_002. Gruppi di minacce a number of, compresi quelli associati a Ransomware Rhysida, Ransomware interblocco, TA866/ASYLUM AMBUSCADE, Socgholish, Caricatore D3F@CKE TA582 è stato scoperto che utilizza il TDS nelle loro sequenze di infezione iniziale.
“TAG-124 comprende una rete di siti WordPress compromessi, server di payload controllati dagli attori, un server centrale, un sospetto server di gestione, un pannello aggiuntivo e altri componenti” disse. “Se i visitatori soddisfano criteri specifici, i siti Internet WordPress compromessi mostrano false pagine di atterraggio di aggiornamento di Google Chrome, che alla effective portano a infezioni da malware.”
Registrato futuro ha anche osservato che l’uso condiviso di TAG-124 rafforza la connessione tra Ceppi di ransomware di rhysida e interbloccoe che le recenti variazioni delle campagne TAG-124 hanno utilizzato la tecnica ClickFix per istruire i visitatori di eseguire un comando pre-coperto negli appunti per avviare l’infezione da malware.
Alcuni dei payload distribuiti come parte dell’attacco includono Remcos Rat e Cleanuploader (aka broomstick o ostrica), quest’ultimo dei quali funge da condotto per Rhysida e Interlock Ransomware.
I siti WordPress compromessi, per un totale di oltre 10.000, sono stati scoperti anche come canale di distribuzione per AMOS e Socholish come parte di quello che è stato descritto come un attacco sul lato cliente.
“JavaScript caricato nel browser dell’utente genera la pagina falsa in un IFRAME”, ricercatore c/facet Himanshu Anand disse. “Gli aggressori utilizzano versioni e plugin obsoleti per rendere in atto i siti Internet più difficili per i siti Internet senza uno strumento di monitoraggio lato consumer.”
Inoltre, gli attori delle minacce hanno sfruttato la fiducia associata a piattaforme popolari come GitHub per ospitare installatori dannosi che portano allo spiegamento di Lumma Stealer e altri carichi utili come Sectoprot, Vidar Stealer e Cobalt Strike Beacon.
L’attività di Development Micro mostra significative sovrapposizioni con tattiche attribuite a un attore di minaccia denominato Stargazer Goblinche ha un monitor file di utilizzo di repository GitHub per la distribuzione del carico utile. Tuttavia, una differenza cruciale è che la catena di infezione inizia con siti Internet infetti che si reinsano a collegamenti di rilascio di GitHub dannosi.
“Il metodo di distribuzione di Lumma Stealer continua a evolversi, con l’attore delle minacce che ora utilizza i repository di GitHub per ospitare malware”, i ricercatori della sicurezza Buddy Tancio, Fe Cureg e Jovit Samanogo disse.
“Il modello Malware-As-A-Service (MAAS) fornisce agli attori dannosi un mezzo conveniente e accessibile per eseguire attacchi informatici complessi e raggiungere i loro obiettivi dannosi, facilitando la distribuzione di minacce come Lumma Stealer.”
