Identiteten af hoved-bagmanden bag Golden Chickens-malwaren er blevet afsløret på grund af en "fatal" fejl i operativ sikkerhed, ifølge cybersikkerhedsfirmaet eSentire.
Den pågældende person bor i Bukarest, Rumænien, og er blevet tildelt kodenavnet “Jack”. Han er en af de to IT-kriminelle, der opererer under brugernavnet "badbullzvenom" på det russisksprogede Exploit.in forum, den anden er "Chuck fra Montreal".
eSentire karakteriserede Jack som hjernen bag Golden Chickens. Beviser fremlagt af det canadiske firma viser, at han også er registreret som ejer af en import- og eksportvirksomhed for frugt og grøntsager.
"Som 'Chuck fra Montreal' bruger 'Jack' flere aliasser til de underjordiske fora, sociale medier og Jabber-konti, og han har også gjort meget for at skjule sin identitet," udtalte eSentire-forskere Joe Stewart og Keegan Keplinger.
"'Jack' har gjort en stor indsats for at sløre Golden Chickens-malwaren for at gøre den uopdagelig for de fleste antivirus selskaber og tillade kun et lille antal kunder at købe adgang til Golden Chickens MaaS."
Golden Chickens (også kendt som More_eggs) er en malware-suite, der bruges af økonomisk motiverede cyberkriminelle som Cobalt Group og FIN6. Trusselsaktørerne bag malwaren, der også er kendt som Venom Spider, opererer under et malware-as-a-service (MaaS) model.
Denne JavaScript-malware distribueres via phishing-kampagner og leveres med flere komponenter til at indsamle finansielle oplysninger, udføre laterale bevægelser og endda installere en ransomware-plugin til PureLocker kaldet TerraCrypt.
Ifølge eSentire går Jacks onlineaktiviteter helt tilbage til 2008, hvor han som 15-årig tilmeldte sig forskellige cyberkriminalitetsfora som en nybegynder. Alle hans aliasser følges nøje og samlet under navnet LUCKY.
Under efterforskningen af hans digitale spor følger man Jacks udvikling fra en teenager, der var interesseret i at skabe ondsindede programmer, til en erfaren hacker, der udvikler password stealers, crypters og More_eggs. Nogle af de tidligste malwareværktøjer, udviklet af Jack i 2008, omfattede Voyer, der kan opsnappe en brugers Yahoo!-instantbeskeder, og en informationstøver kaldet FlyCatcher, der kan registrere tastetryk.
Et år senere udgav Jack en ny password stealer ved navn CON, der er designet til at stjæle legitimationsoplysninger fra forskellige webbrowsere, VPN'er og FTP-applikationer samt nu nedlagte beskedapps som MSN Messenger og Yahoo! Messenger
Comments