
Geng kejahatan dunia maya berbahasa Rusia yang dikenal sebagai Crazy Evil telah dikaitkan dengan lebih dari 10 penipuan media sosial aktif yang memanfaatkan berbagai umpan yang disesuaikan untuk menipu para korban dan menipu mereka untuk memasang malware seperti stealc, pencuri macos atom (alias amos), dan Drainer malaikat.
“Mengkhususkan diri dalam penipuan identitas, pencurian cryptocurrency, dan malware mencuri informasi, Crazy Evil menggunakan jaringan pedagang terkoordinasi dengan baik-para pakar teknik sosial yang ditugaskan untuk mengarahkan kembali lalu lintas yang sah ke halaman phishing berbahaya,” kata Grup Insikt Future Future dalam sebuah analisis.
Penggunaan malware Arsenal Cryptoscam Group yang beragam adalah tanda bahwa aktor ancaman menargetkan pengguna sistem Windows dan MacOS, menimbulkan risiko bagi ekosistem keuangan yang terdesentralisasi.
Jahat gila telah dinilai aktif sejak setidaknya tahun 2021, berfungsi terutama sebagai tim pedagang yang ditugaskan untuk mengarahkan kembali lalu lintas yang sah ke halaman arahan berbahaya yang dioperasikan oleh kru kriminal lainnya. Diduga dijalankan oleh aktor ancaman yang dikenal di telegram sebagai @abrahamcrazyevil, itu melayani lebih dari 4.800 pelanggan di platform pesan (@CrazyEvilCorp) saat menulis.
“Mereka memonetisasi lalu lintas ke operator botnet ini yang bermaksud untuk membahayakan pengguna baik secara luas, atau secara khusus ke suatu wilayah, atau sistem operasi,” kata perusahaan cybersecurity Prancis Sekoia dalam laporan penyelaman mendalam tentang layanan pedagang pada Agustus 2022.
“Oleh karena itu, tantangan utama yang dihadapi Traffer adalah untuk menghasilkan lalu lintas berkualitas tinggi tanpa bot, tidak terdeteksi atau dianalisis oleh vendor keamanan, dan akhirnya disaring berdasarkan jenis lalu lintas. Dengan kata lain, aktivitas pedagang adalah bentuk generasi pemimpin.”

Tidak seperti penipuan lain yang berputar di sekitar mendirikan situs belanja palsu untuk memfasilitasi transaksi penipuan, Crazy Evil berfokus pada pencurian aset digital yang melibatkan token yang tidak dapat dilalui (NFT), cryptocurrency, kartu pembayaran, dan rekening perbankan online. Diperkirakan telah menghasilkan lebih dari $ 5 juta dalam pendapatan terlarang dan mengkompromikan puluhan ribu perangkat secara global.
Ini juga telah mendapatkan keunggulan baru setelah penipuan keluar yang melibatkan dua kelompok kejahatan dunia maya lainnya Markopolo dan Cryptolove, yang keduanya sebelumnya diidentifikasi oleh Sekoia sebagai bertanggung jawab atas kampanye ClickFix menggunakan halaman -halaman Palsu Google Meet pada Oktober 2024.
“Jahat gila secara eksplisit mengorbankan ruang cryptocurrency dengan umpan phishing tombak yang dipesan lebih dahulu,” kata Future yang tercatat. “Para pedagang jahat gila kadang -kadang membutuhkan waktu atau berminggu -minggu waktu pengintaian untuk cakupan operasi, mengidentifikasi target, dan memulai keterlibatan.”
Selain mengatur rantai serangan yang memberikan pencuri informasi dan drainer dompet, administrator kelompok mengklaim untuk menawarkan manual instruksi dan panduan untuk taffer dan layanan crypter untuk muatan berbahaya dan membanggakan struktur afiliasi untuk mendelegasikan operasi.

Crazy Evil adalah kelompok kejahatan dunia maya kedua setelah Telekopye yang diekspos dalam beberapa tahun terakhir, dan itu memusatkan operasinya di sekitar Telegram. Afiliasi yang baru direkrut diarahkan oleh bot telegram yang dikendalikan aktor ancaman ke saluran pribadi lainnya –
- Pembayaranyang mengumumkan pendapatan untuk pedagang
- Logbaryang memberikan jejak audit serangan pencuri informasi, detail tentang data curian, dan jika targetnya adalah korban yang diulang
- Infoyang memberikan pembaruan administratif dan teknis reguler untuk para pedagang
- Obrolan globalyang berfungsi sebagai ruang komunikasi utama untuk diskusi mulai dari pekerjaan hingga meme
Kelompok kejahatan dunia maya telah ditemukan terdiri dari enam sub -tim, Avland, Typed, Deland, Zoomland, Defi, dan Kevland, yang masing -masing telah dikaitkan dengan penipuan spesifik yang melibatkan penipuan korban untuk memasang alat dari situs web Phony –
- Avland (alias avs | rg atau pembalasan), yang memanfaatkan tawaran pekerjaan dan penipuan investasi untuk menyebarkan stealc dan stealer amos dengan kedok alat komunikasi Web3 bernama voxium (“voxiumcalls[.]com “)
- Diketikyang menyebarkan pencuri amos dengan kedok perangkat lunak kecerdasan buatan bernama Typerdex (“Typerdex[.]ai “)
- Delandyang menyebarkan pencuri amos dengan kedok platform pengembangan komunitas bernama Demeet (“Demeet[.]aplikasi “)
- Zoomlandyang memanfaatkan penipuan generik meniru zoom dan wechat (“app-whechat[.]com “) untuk menyebarkan pencuri amos
- Defiyang menyebarkan pencuri amos dengan kedok platform manajemen aset digital bernama Selenium Finance (“Selenium[.]fi “)
- Kevlandyang menyebarkan pencuri amos dengan kedok perangkat lunak pertemuan virtual yang ditingkatkan AI[.]CA “)
“Ketika kejahatan gila terus mencapai kesuksesan, entitas penjahat cyber lainnya cenderung meniru metodenya, tim keamanan yang memaksa untuk tetap waspada untuk mencegah pelanggaran yang meluas dan erosi kepercayaan dalam sektor cryptocurrency, game, dan perangkat lunak,” kata rekaman Future.

Pengembangan datang ketika perusahaan cybersecurity mengekspos sistem distribusi lalu lintas (TDS) yang dijuluki TAG-124, yang tumpang tindih dengan kelompok aktivitas yang dikenal sebagai Landupdate808, 404 TDS, KongTuke, dan Chaya_002. Beberapa kelompok ancaman, termasuk yang terkait dengan ransomware Rhysida, interlock ransomware, TA866/Asylum Ambuscade, Socgholish, D3F@CK Loader, dan TA582 telah ditemukan menggunakan TDS dalam urutan infeksi awal mereka.
“TAG-124 terdiri dari jaringan situs WordPress yang dikompromikan, server muatan yang dikendalikan aktor, server pusat, server manajemen yang diduga, panel tambahan, dan komponen lainnya,” katanya. “Jika pengunjung memenuhi kriteria spesifik, situs web WordPress yang dikompromikan menampilkan halaman pendaratan pembaruan google chrome palsu, yang pada akhirnya menyebabkan infeksi malware.”

Recorded Future also noted that the shared use of TAG-124 reinforces the connection between Rhysida and Interlock ransomware strains, and that recent variations of TAG-124 campaigns have utilized the ClickFix technique of instructing visitors to execute a command pre-copied to their clipboard to memulai infeksi malware.
Beberapa muatan yang digunakan sebagai bagian dari serangan termasuk REMCOS Rat dan CleanUploader (alias Broomstick atau Oyster), yang terakhir berfungsi sebagai saluran untuk Rhysida dan Ransomware Interlock.
Situs WordPress yang dikompromikan, dengan total lebih dari 10.000, juga telah ditemukan bertindak sebagai saluran distribusi untuk AMOS dan Socgholish sebagai bagian dari apa yang telah digambarkan sebagai serangan sisi klien.
“JavaScript dimuat di browser pengguna menghasilkan halaman palsu di iframe,” kata peneliti C/Side Himanshu Anand. “Para penyerang menggunakan versi dan plugin WordPress yang sudah ketinggalan zaman untuk membuat deteksi lebih sulit bagi situs web tanpa alat pemantauan sisi klien.”
Selain itu, aktor ancaman telah memanfaatkan kepercayaan yang terkait dengan platform populer seperti GitHub untuk menjadi tuan rumah installer jahat yang mengarah pada penyebaran Lumma Stealer dan muatan lainnya seperti Sectoprat, Vidar Stealer, dan Cobalt Strike Beacon.

Aktivitas Trend Micro menunjukkan tumpang tindih yang signifikan dengan taktik yang dikaitkan dengan aktor ancaman yang disebut sebagai Stargazer Goblin, yang memiliki rekam jejak menggunakan repositori GitHub untuk distribusi muatan. Namun, perbedaan penting adalah bahwa rantai infeksi dimulai dengan situs web yang terinfeksi yang mengarahkan kembali ke tautan pelepasan GitHub berbahaya.
“Metode distribusi Lumma Stealer terus berkembang, dengan aktor ancaman sekarang menggunakan repositori GitHub untuk menjadi tuan rumah malware,” kata peneliti keamanan Buddy Tancio, Fe Cureg, dan Jovit Samaniego.
“Model malware-as-a-service (MAAS) memberikan aktor jahat dengan cara yang hemat biaya dan dapat diakses untuk melaksanakan serangan cyber yang kompleks dan mencapai tujuan berbahaya mereka, memudahkan distribusi ancaman seperti Lumma Stealer.”