Arresto, redadas vinculadas al package de suplantación de identidad «U-Admin» – Krebs on Stability


Policías cibernéticos en Ucrania llevaron a cabo un arresto y varias redadas la semana pasada en relación con el autor de un U-Admin, un paquete de computer software que se utiliza para administrar lo que se denomina «uno de los servicios de phishing más grandes del mundo». La operación se llevó a cabo en coordinación con el FBI y las autoridades de Australia, que se vio particularmente afectada por las estafas de phishing perpetradas por clientes de U-Admin.

La interfaz del panel de phishing de U-Admin. Imagen: fr3d.hk/weblog

Fiscalía standard de Ucrania dijo funcionó con la fuerza policial de la nación para identificar a un hombre de 39 años de la región de Ternopil que desarrolló un paquete de phishing y un panel administrativo especial para el producto.

«Según el análisis de las agencias de aplicación de la ley extranjeras, más del 50% de todos los ataques de phishing en 2019 en Australia se llevaron a cabo gracias al desarrollo del hacker Ternopil», dijo la oficina del fiscal common, y señaló que los investigadores habían identificado cientos de U -Administrar clientes.

Brad Marden, superintendente de operaciones de ciberdelito de la Policía Federal Australiana (AFP), dijo que su investigación sobre quién estaba detrás de U-Admin comenzó a fines de 2018, después de que los ciudadanos australianos comenzaran a recibir ataques de phishing a través de mensajes de texto móviles que aprovechaban el computer software.

«Fue desenfrenado», dijo Marden, y señaló que la AFP identificó al sospechoso y remitió el caso a los ucranianos para su enjuiciamiento. “En un momento de 2019, tuvimos un par de cientos de campañas de phishing por SMS vinculadas solo a este actor en unique. Casi todos los australianos recibieron media docena de estos intentos de phishing «.

U-Admin, también conocido como «Universal Admin», es una plataforma de crimeware que apareció por primera vez en 2016. U-Admin fue vendido por una persona que usó el identificador de hacker «Kaktys”En múltiples foros de ciberdelincuencia.

De acuerdo a este desglose completo del package de herramientas de phishing, el panel de handle U-Admin no se vende por sí solo, sino que se incluye cuando los clientes se comunican con el desarrollador y compran un conjunto de páginas de phishing diseñadas para imitar una marca específica, como un sitio internet bancario o una plataforma de redes sociales.

Empresa de inteligencia de amenazas de ciberseguridad Intel 471 explain U-Admin como un marco de robo de información que utiliza varios complementos en una ubicación para ayudar a los usuarios a robar las credenciales de las víctimas de manera más eficiente. Esos complementos incluyen un generador de páginas de phishing, un rastreador de víctimas e incluso un componente para ayudar a administrar las mulas de dinero (para transferencias automáticas de cuentas de víctimas a personas que fueron contratadas con anticipación para recibir y lavar fondos robados).

Quizás el mayor punto de venta para U-Admin es un módulo que ayuda a los phishers a interceptar códigos de autenticación de múltiples factores. Esta funcionalidad principal es lo que se conoce como «inyección net», porque permite a los phishers interactuar de forma dinámica con las víctimas en tiempo real al inyectar contenido en la página de phishing que solicita a la víctima que ingrese información adicional. El video a continuación, producido por el desarrollador de U-Admin, muestra algunos ejemplos (haga clic para ampliar).

Un video de demostración que muestra las capacidades de inyección website en tiempo genuine del kit de phishing U-Admin. Crédito: blog.bushidotoken.internet

Hay varios informes recientes de que U-Admin se ha utilizado junto con malware, particularmente Qakbot (también conocido como Qbot) – recolectar códigos únicos necesarios para la autenticación multifactor.

«Junto con (la funcionalidad de recolección 2FA de U-Admin), un actor de amenazas puede conectarse de forma remota al dispositivo infectado con Qakbot, ingresar las credenciales robadas más el token 2FA y comenzar a iniciar transacciones», explica esta publicación de web site de noviembre de 2020 en una campaña de Qakbot en curso que fue documentado por primera vez tres meses antes por Investigación de Check Stage.

En los días posteriores a la acción policial ucraniana, varios clientes de U-Admin en los foros donde Kaktys estaba más activo comenzaron a discutir si el producto seguía siendo seguro de usar después del arresto del administrador.

Marden de la AFP insinuó que las sospechas planteadas por la base de clientes de U-Admin podrían estar justificadas.

«No estaría contento con que los delincuentes sigan usando ese equipo, sin decir nada más en ese frente», dijo Marden.

Si bien los clientes de Kaktys pueden estar principalmente preocupados por los riesgos de usar un producto respaldado por un tipo que acaba de ser arrestado, tal vez deberían estar más preocupados por otros delincuentes (o quizás los propios bancos víctimas) que se muden a su territorio: parece que la U -El paquete de administrador que se vende en el subsuelo ha incluido durante mucho tiempo una debilidad que podría permitir a cualquiera ver o alterar los datos que fueron phishing con la ayuda de este kit.

La falla de seguridad fue aludida brevemente en un artículo de 2018 sobre U-Admin por el SANS Web Storm Center.

«En cuanto a la profesionalidad del código, el diseño y la funcionalidad, le doy a este panel de command 3 de 5 estrellas», bromeó el autor invitado de SANS. Remco Verhoef. «Queríamos darles 4 estrellas, pero les dimos una estrella menos debido a una Vulnerabilidad de inyección SQL”(Enlace agregado).

Esa vulnerabilidad se documentó con más detalle en el archivo de exploits. Seguridad de la tormenta de paquetes en marzo de 2020 y indexado por Check Level Program en mayo de 2020, lo que sugiere que aún persiste en las versiones actuales del producto.

El mejor consejo para evitar las estafas de phishing es evitar hacer clic en los enlaces que llegan espontáneamente en correos electrónicos, mensajes de texto y otros medios. Este consejo es el mismo si está utilizando un dispositivo móvil o de escritorio. De hecho, este marco de phishing especializado en señuelos diseñados específicamente para cargarse en dispositivos móviles.

La mayoría de las estafas de phishing invocan un elemento temporal que advierte de las graves consecuencias si no responde o actúa rápidamente. Si no está seguro de si el mensaje es legítimo, respire hondo y visite el sitio o el servicio en cuestión de forma manual lo best es utilizar un marcador del navegador para evitar posibles sitios con errores tipográficos.

Otras lecturas:

uAdmin Display & Explain to
Recopilación de inteligencia sobre el troyano bancario Qakbot


Etiquetas: Policía Federal Australiana, Brad Marden, Look at Stage Analysis, fr3d.hk, Intel 471, Kaktys, Qakbot, Remco Verhoef, sans net storm centre, U-Admin

Esta entrada se publicó el lunes 8 de febrero de 2021 a las 10:16 pm y está archivada en Ne&#39er-Do-Properly News, Web Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first