El imperio de spam «FudCo» vinculado a una empresa de computer software de Pakistán: Krebs on Security


En mayo de 2015, KrebsOnSecurity describió brevemente «Los manipuladores, ”El nombre elegido por un prolífico grupo de ciberdelincuencia con sede en Pakistán que vendía de forma muy pública herramientas de spam y una gama de servicios para crear, alojar e implementar correo electrónico malicioso. Seis años después, una revisión de las publicaciones en las redes sociales de este grupo muestra que están prosperando, mientras ocultan bastante mal sus actividades detrás de una empresa de desarrollo de software en Lahore que ha permitido en secreto a toda una generación de spammers y estafadores.

El sitio internet en 2015 para el «Equipo de manipuladores», un grupo de piratas informáticos paquistaníes detrás de la identidad de la website oscura «Saim Raza», que vende herramientas y servicios de spam y malware.

La marca principal de Manipulaters en el underground es una identidad ciberdelincuente compartida denominada «Saim Raza, «Quien durante la última década en decenas de foros y sitios de ciberdelincuencia ha vendido un well-known servicio de spam y phishing llamado»Fudtools, «»Fudpage, «»Fudsender, ”Etc.

El acrónimo común en casi todos los dominios de Saim Raza a lo largo de los años, «FUD», significa «Fully Unorte-Detectable ”, y se refiere a recursos de ciberdelincuencia que eludirán la detección por parte de herramientas de seguridad como computer software antivirus o dispositivos antispam.

Uno de los varios sitios actuales de Fudtools administrados por The Manipulaters.

El sitio world-wide-web genuine de Fud Tools de Saim Raza (arriba) ofrece plantillas de phishing o «páginas de estafa» para una variedad de sitios en línea populares como Oficina 365 y Dropbox. También venden productos “Doc Exploit” que incluyen software malintencionado con documentos inocuos de Microsoft Place of work «Alojamiento de búsqueda» para sitios de suplantación de identidad (phishing) una variedad de herramientas de eliminación de spam como HeartSender y application diseñado para ayudar a los spammers a enrutar su correo electrónico malicioso a través de sitios, cuentas y servicios comprometidos en la nube.

Durante los años previos a 2015, «admin@manipulaters.com”Era el nombre en los registros de registro de miles de dominios fraudulentos que falsificaron a algunos de los principales bancos y marcas del mundo, pero en distinct a Apple y Microsoft. Cuando se enfrenta a esto, el fundador de The Manipulaters Madih-ullah Riaz respondió: “No alojamos ni permitimos deliberadamente ningún phishing o cualquier otro sitio web abusivo. Con respecto al phishing, cada vez que recibimos una queja, eliminamos los servicios de inmediato. También estamos operando negocios desde 2006 «.

La crimson informática de The Manipulaters, alrededor de 2013. Imagen: Fb

Dos años más tarde, KrebsOnSecurity recibió un correo electrónico de Riaz solicitando que se eliminara su nombre y el de su socio comercial de la historia de 2015, diciendo que había perjudicado la capacidad de su empresa para mantener un alojamiento estable para su estable de dominios.

«Dirigimos un negocio de alojamiento net y debido a su publicación tuvimos problemas muy serios, especialmente ningún centro de datos nos aceptaba», escribió Riaz en un correo electrónico de mayo de 2017. «Puedo ver que publicas sobre delincuentes en tiempos difíciles, no somos delincuentes, al menos no estaba en nuestro conocimiento».

Riaz dijo que el problema period que el sistema de facturación de su empresa utilizaba erróneamente el nombre y la información de contacto de The Manipulators en lugar de sus clientes en los registros de registro de WHOIS. Ese descuido, dijo, hizo que muchos investigadores les atribuyeran erróneamente actividad que provenía de unos pocos clientes malos.

“Trabajamos duro para ganar dinero y es mi pedido, 2 años de mi nombre en tu maravilloso artículo es suficiente castigo y hemos aprendido de nuestros errores”, concluyó.

Los manipuladores de hecho han aprendido algunos trucos nuevos, pero mantener sus operaciones subterráneas al margen de sus identidades de la vida authentic, afortunadamente, no es uno de ellos.

SEGURIDAD OPERACIONAL CERO

Los nombres de dominio de phishing registrados por The Manipulaters incluían una dirección en Karachi, con el número de teléfono 923218912562. Ese mismo número de teléfono se comparte en los registros de WHOIS para más de 4000 dominios registrados a través de domainprovider (.) trabajo, un dominio controlado por The Manipulaters que parece ser un revendedor de otro proveedor de nombres de dominio.

Uno de los muchos anuncios de Saim Raza en el ciberdelito clandestino para su servicio Fudtools promueve el dominio. fudpage (.) comy los registros de WHOIS de ese dominio comparten el mismo número de teléfono de Karachi. Los registros de WHOIS de Fudpage enumeran el contacto como «admin@apexgrand.com, ”Que es otra dirección de correo electrónico utilizada por The Manipulaters para registrar dominios.

Como señalé en 2015, el equipo de manipuladores utilizó la configuración del servicio de nombres de dominio (DNS) de otro servicio flagrantemente fraudulento llamado «FreshSpamTools (.) Eu, Que fue ofrecido por un compañero paquistaní que también vendió convenientemente kits de herramientas de phishing dirigidos a varios grandes bancos.

Los registros de WHOIS para FreshSpamTools enumeran brevemente la dirección de correo electrónico bilal.waddaich@gmail.com, que corresponde a la dirección de correo electrónico de una cuenta de Fb de un Bilal «Sunny» Ahmad Warraich (también conocido como Bilal Waddaich).

La foto de perfil precise de Bilal Waddaich en Facebook incluye a muchos empleados actuales y anteriores de We Code Solutions.

El perfil de Fb de Warraich dice que trabaja como especialista en soporte de TI en una empresa de desarrollo de software en Lahore llamada Codificamos Soluciones.

El sitio internet de We Code Answers.

Una revisión de los registros de alojamiento del sitio net de la empresa. wecodesolutions (.) pk muestran que durante los últimos tres años ha compartido un servidor con solo un puñado de otros dominios, que incluyen:

-herramientas saimraza (.)
-fud (.) herramientas
-Red de emisor de corazón (.)
-fudspampage (.) com
-fudteam (.) com
-autoshopscript (.) com
-wecodebilling (.) com
-antibotspanel (.) com
-sellonline (.) herramientas

FUD CO

La imagen de perfil en la parte exceptional de la página de Facebook de Warraich es una foto grupal de empleados actuales y anteriores de We Code Options. Afortunadamente, muchas de las caras en esa foto han sido etiquetadas y asociadas con sus respectivos perfiles de Fb.

Por ejemplo, el perfil de Facebook de Burhan Ul Haq, también conocido como «Burhan Shaxx”Dice que trabaja en relaciones humanas y soporte de TI para We Code Options. Al escanear las interminables selfies de Ul Haq en Facebook, es imposible ignorar una serie de fotos con varios pasteles de cumpleaños. y las palabras «Fud Co» escritas con glaseado en la parte outstanding.

Las fotos de Burhan Ul Haq muestran muchos pasteles con el tema de Fud Co que los empleados de We Code Options disfrutaron en el aniversario del equipo de manipuladores.

Sí, a partir de una revisión de las publicaciones en Fb de los empleados de We Code Answers, parece que durante al menos los últimos cinco años este grupo ha celebrado un aniversario cada mes de mayo con un pastel de Fud Co, vino espumoso sin alcoholic beverages y una fiesta de Fud Co o cena grupal. Echemos un vistazo más de cerca a ese delicioso pastel:

El director de We Code Options parece ser un tipo llamado Rameez Shahzad, la persona mayor en el centro de la foto de grupo en el perfil de Facebook de Warraich. Puedes decir que Shahzad es el jefe porque él está en el centro de prácticamente todas las fotos grupales que él y otros empleados de We Code Solutions publicaron en sus respectivas páginas de Facebook.

El jefe de We Code Methods, Rameez Shahzad (con gafas de sol) está en el centro de esta foto de grupo, que fue publicada por el empleado Burhan Ul Haq, en la foto a la derecha de Shahzad.

Las publicaciones de Shahzad en Facebook son aún más reveladoras: el 3 de agosto de 2018, publicó una captura de pantalla de alguien que inició sesión en un sitio de WordPress con el nombre de usuario Saim Raza, la misma identidad que ha estado proxeneta con las herramientas de spam de Fud Co durante casi una década.

«Después de (un) largo tiempo, Mailwizz listo», escribió Shahzad como título de la foto:

El jefe de We Code Solutions, Rameez Shahzad, publicó en Fb una captura de pantalla de alguien que inició sesión en un sitio de WordPress con el nombre de usuario Saim Raza, la misma identidad ciberdelincuente que ha vendido el imperio de spam de FudTools durante más de 10 años.

Quien controlaba la identidad del ciberdelincuente de Saim Raza tenía una inclinación por reutilizar la misma contraseña («amorosos») en docenas de direcciones de correo electrónico de Saim Raza. Una de las variaciones de direcciones de correo electrónico favoritas de Saim Raza era «sport.changer @ (elija ISP aquí)». Otra dirección de correo electrónico anunciada por Saim Raza period «bluebtcus@gmail.com».

Por lo tanto, no fue sorprendente ver a Rameez Shahzad publicar una captura de pantalla en su cuenta de Facebook del escritorio de su computadora, que muestra que ha iniciado sesión en una cuenta de Skype que comienza con el nombre «juego». y una cuenta de Gmail que comience con «bluebtc».

Imagen: Scylla Intel

KrebsOnSecurity intentó comunicarse con We Code Methods a través de la dirección de correo electrónico de contacto en su sitio website, information @ wecodesolutions (.) Pk, pero el mensaje se recuperó, diciendo que no había tal dirección. Del mismo modo, una llamada al número de teléfono de Lahore que figura en el sitio net produjo un mensaje automático que decía que el número no está en servicio. Ninguno de los empleados de We Code Methods contactados directamente por correo electrónico o por teléfono respondió a solicitudes de comentarios.

FALLA POR NÚMEROS

Esta investigación de código abierto sobre The Manipulaters y We Code Solutions es suficientemente condenatoria. Pero la verdadera guinda del pastel de Fud Co es que en algún momento de 2019, Los manipuladores no pudieron renovar su nombre de dominio principal – manipulaters (.) Com – el mismo vinculado a muchas de las operaciones comerciales pasadas y actuales de la empresa.

Ese dominio fue rápidamente recogido por Scylla Intel, una empresa de inteligencia cibernética que se especializa en conectar a los ciberdelincuentes con sus identidades de la vida actual. ¡Ups!

Cofundador de Scylla Sasha Angus dijo que los mensajes que inundaron su bandeja de entrada una vez que configuraron un servidor de correo electrónico en ese dominio rápidamente completaron muchos de los detalles que aún no tenían sobre The Manipulaters.

“Conocemos a los directores, sus identidades reales, dónde están, dónde pasan el rato”, dijo Angus. “Yo diría que tenemos varios miles de exhibiciones que potencialmente podríamos poner como evidencia. Tenemos seis formas de llegar al domingo como los chicos detrás de esta identidad de spammer de Saim Raza en los foros «.

Angus dijo que él y un compañero investigador informaron a los fiscales estadounidenses en 2019 sobre sus hallazgos sobre The Manipulaters, y que los investigadores expresaron interés, pero también parecían abrumados por el volumen de evidencia que sería necesario recopilar y preservar sobre las actividades de este grupo.

«Creo que una de las cosas que los investigadores encontraron desafiantes sobre este caso no fue quién hizo qué, sino cuántas cosas malas han hecho a lo largo de los años», dijo Angus. “Con estos tipos, sigues bajando por esta madriguera que nunca termina porque siempre hay más, y es bastante asombroso. Son prolíficos. Si tuvieran una seguridad operativa medio decente, podrían haber tenido mucho éxito. Pero afortunadamente, no es así «.



Enlace a la noticia authentic