ИБ-специалисты раскрыли личность оператора вредоносного ПО Golden Chickens

ИБ-специалисты раскрыли личность оператора вредоносного ПО Golden Chickens

Использование нескольких ников привело к деанонимизации личности преступника и всей его семьи.

image

Компания eSentire раскрыла личность второго злоумышленника, стоящего за вредоносной программой Golden Chickens, с помощью фатальной ошибки конфиденциальности.

Упомянутый человек, проживающий в Бухаресте (Румыния), получил кодовое имя Джек. Джек вместе со своим подельником используют аккаунты на форуме Exploit.in с никами «badbullzvenom» и «Chuck from Montreal» соответственно.

eSentire охарактеризовал Джека как истинного вдохновителя Golden Chickens. Эксперты также доказали, что Джек является владельцем бизнеса по импорту и экспорту овощей и фруктов.

Онлайн-деятельность Джека начинается с 2008 года, когда ему было всего 15 лет. Тогда он зарегистрировался на различных хакерских форумах. Подросток интересовался созданием вредоносных программ, инфостилеров и кейлоггеров, и вырос до хакера, занимающегося разработкой похитителей паролей, шифровальщиков и More_eggs.

Развитие личности Джека

В 2012 Джек приобрел репутацию мошенника в киберпреступном сообществе из-за того, что не смог предоставить адекватную поддержку клиентам, покупающим его программы. После многочисленных обвинений Джек решил переехать в Пакистан, чтобы работать на правительство в качестве специалиста по безопасности.

Не сразу ясно, отправился ли Джек в Пакистан, но eSentire обнаружила тактические совпадения между кампанией 2019 года пакистанского злоумышленника SideCopy, и вредоносным ПО Джека VenomLNK, которое служит начальным вектором доступа для бэкдора More_eggs.

Подозревается, что пути Джека пересеклись с «Чаком из Монреаля» в 2013 году, когда Чак на одном из форумов поделился контактами для связи в мессенджере Jabber. Аккаунт в мессенджере был связан с LUCKY, первым ником Джека на хакерских форумах.

Исследователи предполагают, что Джек заключил сделку с Чаком, чтобы публиковать свои сообщения на форумах под никами Чака «badbullz» и «badbullzvenom», чтобы обойти свою известность как мошенника и «начать с чистого листа». Впоследствии, в 2017 году, компания badbullzvenom (также известная как LUCKY) выпустила отдельный инструмент под названием VenomKit, который с тех пор превратился в Golden Chickens.

Эксперты заключили, что именно аккаунт Jabber и совместное использование ников с Чаком стали фатальной ошибкой для Джека, которая привела к его деанонимизации. Специалисты eSentire также обнаружили личности жены, матери и двух сестер Джека.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум