Seorang aktor kejahatan cyber pemula telah diamati memanfaatkan layanan penyedia hosting Bulletproof Rusia (BPH) bernama Proton66 untuk memfasilitasi operasi mereka.
Temuan ini berasal dari DomainTools, yang mendeteksi aktivitas setelah menemukan situs web palsu bernama cyberseCureProtect[.]com di -host di Proton66 yang menyamar sebagai layanan antivirus.
Perusahaan Ancaman Intelijen mengatakan mengidentifikasi kegagalan keamanan operasional (OPSEC) dalam domain yang membuat infrastruktur berbahaya terbuka, dengan demikian mengungkapkan muatan jahat yang dipentaskan di server.
“Wahyu ini membawa kami ke lubang kelinci ke dalam operasi aktor ancaman yang muncul yang dikenal sebagai Coquettte – hosting antipeluru cyber cyber amatir yang memanfaatkan Proton66 untuk mendistribusikan malware dan terlibat dalam kegiatan ilegal lainnya,” katanya dalam sebuah laporan yang dibagikan dengan berita peretas.
Proton66, juga terhubung dengan layanan BPH lain yang dikenal sebagai Prospero, telah dikaitkan dengan beberapa kampanye yang mendistribusikan desktop dan malware Android seperti Gootloader, Matanbuchus, Spynote, Coper (alias Octo), dan Socgholish. Halaman phishing yang di -host di layanan telah disebarkan melalui pesan SMS untuk menipu pengguna agar memasukkan kredensial perbankan dan informasi kartu kredit.
Coquettte adalah salah satu aktor ancaman yang memanfaatkan manfaat yang ditawarkan oleh Ekosistem Proton66 untuk mendistribusikan malware dengan kedok alat antivirus yang sah.
Ini mengambil bentuk arsip zip (“Cybersecure Pro.zip”) yang berisi pemasang Windows yang kemudian mengunduh malware tahap kedua dari server jarak jauh yang bertanggung jawab untuk memberikan muatan sekunder dari server perintah-dan-kontrol (C2) (“CIA[.]tf “).
Tahap kedua adalah loader yang diklasifikasikan sebagai Rugmi (alias Penguish), yang telah digunakan di masa lalu untuk menggunakan pencuri informasi seperti Lumma, Vidar, dan Raccoon.
Analisis lebih lanjut dari jejak kaki digital Coquettte mengungkap situs web pribadi yang mereka klaim sebagai “insinyur perangkat lunak berusia 19 tahun, mengejar gelar dalam pengembangan perangkat lunak.”
Terlebih lagi, CIA[.]Domain TF telah terdaftar dengan alamat email “root@coquettte[.]com, “Mengonfirmasi bahwa aktor ancaman mengendalikan server C2 dan mengoperasikan situs keamanan siber palsu sebagai pusat distribusi malware.
“Ini menunjukkan bahwa Coquettte adalah seorang individu muda, mungkin seorang siswa, yang selaras dengan kesalahan amatir (seperti direktori terbuka) dalam upaya kejahatan dunia maya mereka,” kata Domaintools.
Usaha aktor ancaman tidak terbatas pada malware, karena mereka juga telah menjalankan situs web lain yang menjual panduan untuk pembuatan zat dan senjata ilegal. Coquettte diyakini secara longgar terikat pada grup peretasan yang lebih luas yang bernama The Horrid.
“Pola infrastruktur yang tumpang tindih menunjukkan bahwa orang -orang di belakang situs -situs ini dapat menyebut diri mereka sebagai 'mengerikan,' dengan Coquettte menjadi alias dari salah satu anggota daripada aktor tunggal,” kata perusahaan itu.
“Afiliasi kelompok dengan beberapa domain terkait dengan kejahatan dunia maya dan konten ilegal menunjukkan bahwa ia berfungsi sebagai inkubator untuk menginspirasi penjahat cyber yang menginspirasi atau amatir, menyediakan sumber daya dan infrastruktur bagi mereka yang ingin memantapkan diri di lingkaran peretasan bawah tanah.”
