Hace aproximadamente nueve años, KrebsOnSecurity describió un grupo de cibercrimen con sede en Pakistán llamado «The Manipulateders», una extensa red de alojamiento web de plataformas de phishing y entrega de spam. En enero de 2024, The Manipulators suplicó a este autor que anulara la publicación de historias anteriores sobre su trabajo, alegando que el grupo había pasado página y se había vuelto legítimo. Pero una nueva investigación sugiere que, si bien han mejorado la calidad de sus productos y servicios, estos imbéciles todavía fracasan espectacularmente a la hora de ocultar sus actividades ilegales. En mayo de 2015, KrebsOnSecurity publicó un breve artículo sobre el descarado equipo de Manipuladores, señalando que operaban abiertamente cientos de sitios web que vendían herramientas diseñadas para engañar a las personas para que renunciaran a nombres de usuarios y contraseñas, o implementaran software malicioso en sus PC. Anuncio de manipuladores del kit de phishing “Página privada de Office 365 con Antibot” vendido en el dominio heartender,com. «Antibot» se refiere a una funcionalidad que intenta evadir las técnicas de detección automatizadas, manteniendo un phishing implementado el mayor tiempo posible. Imagen: Herramientas de dominio. La marca principal de The Manipulators ha sido durante mucho tiempo una identidad cibercriminal compartida llamada “Saim Raza”, quien durante la última década ha vendido un popular servicio de spam y phishing llamado “Fudtools”, “Fudpage”, “Fudsender”, “FudCo”. etc. El término «FUD» en esos nombres significa «Totalmente indetectable» y se refiere a recursos de delitos cibernéticos que evadirán la detección de herramientas de seguridad como software antivirus o dispositivos antispam. Una historia de septiembre de 2021 aquí revisó a The Manipulators y descubrió que Saim Raza y compañía estaban prosperando bajo sus marcas FudCo, que administraban en secreto desde una empresa fachada llamada We Code Solutions. Esa pieza trabajó al revés a partir de todas las direcciones de correo electrónico conocidas de Saim Raza para identificar los perfiles de Facebook de varios empleados de We Code Solutions, muchos de los cuales podían verse celebrando los aniversarios de la empresa reunidos alrededor de un pastel gigante con las palabras «FudCo» pintadas con glaseado. Desde que se publicó esa historia, KrebsOnSecurity ha tenido noticias de esta identidad de Saim Raza en dos ocasiones. La primera fue en las semanas posteriores al artículo de septiembre de 2021, cuando una de las direcciones de correo electrónico conocidas de Saim Raza, bluebtcus@gmail.com, suplicó que se eliminara la historia. “Hola, ya dejamos esa mierda, etc. de antes del año”, escribió la identidad de Saim Raza. “¿Por qué nos publicas? ¿Por qué destruyes nuestras vidas? Nunca hacemos daño a nadie. Por favor, quítelo”. KrebsOnSecurity, que no deseaba ser manipulado por una banda de phishing, ignoró esas súplicas. Pero el 14 de enero de 2024, KrebsOnSecurity recibió noticias de la misma dirección bluebtcus@gmail.com, sin motivo alguno. «Elimine este artículo», escribió Sam Raza, vinculando al perfil de 2021. “Por favor, mi policía ya registra mi caso. Ya lo dejo todo”. Cuando se le pidió más detalles sobre la investigación policial, Saim Raza dijo que acababan de salir de la cárcel. “Estuve allí muchos días”, explica la respuesta. “Ahora de vuelta después de la libertad bajo fianza. Ahora quiero empezar mi nuevo trabajo”. Saim Raza no quiso decir exactamente qué podría implicar ese “nuevo trabajo”. Pero un nuevo informe de investigadores de DomainTools.com encuentra que varias computadoras asociadas con The Manipulators han sido pirateadas masivamente por malware malicioso que roba datos y contraseñas durante bastante tiempo. DomainTools dice que las infecciones de malware en las PC de Manipulators expusieron «vastas franjas de datos relacionados con cuentas junto con un resumen de la membresía, las operaciones y la posición del grupo en la economía sumergida más amplia». «Curiosamente, el gran subconjunto de clientes de Manipuladores identificados parece estar comprometido por el mismo malware ladrón», escribió DomainTools. «Todas las infecciones de malware de los clientes observadas comenzaron después del compromiso inicial de las PC de Manipulators, lo que plantea una serie de preguntas sobre el origen de esas infecciones». Ciertamente, varias preguntas. El producto principal de Manipulators en estos días es un servicio de entrega de spam llamado HeartSender, cuya página de inicio anuncia abiertamente kits de phishing dirigidos a usuarios de varias compañías de Internet, incluidas Microsoft 365, Yahoo, AOL, Intuit, iCloud e ID.me, por nombrar algunas. Una captura de pantalla de la página de inicio de HeartSender 4 muestra una dirección IP vinculada a fudtoolshop@gmail.com. Imagen: Herramientas de dominio. Los clientes de HeartSender pueden interactuar con el servicio de suscripción a través del sitio web, pero el producto parece ser mucho más eficaz y fácil de usar si se descarga HeartSender como un programa ejecutable de Windows. Se desconoce si ese programa HeartSender fue de alguna manera comprometido y utilizado para infectar a los clientes del servicio. Sin embargo, DomainTools también descubrió que la versión alojada del servicio HeartSender filtra una cantidad extraordinaria de información del usuario que probablemente no está destinada a ser accesible públicamente. Aparentemente, la interfaz web de HeartSender tiene varias páginas web a las que pueden acceder usuarios no autenticados, exponiendo las credenciales de los clientes junto con solicitudes de soporte a los desarrolladores de HeartSender. «Irónicamente, los manipuladores pueden crear más riesgos a corto plazo para sus propios clientes que las fuerzas del orden», escribió DomainTools. “La tabla de datos “Comentarios de usuarios” (sic) expone lo que parecen ser tokens de autenticación de clientes, identificadores de usuarios e incluso una solicitud de atención al cliente que expone credenciales SMTP de nivel raíz, todas visibles para un usuario no autenticado en un dominio controlado por Manipuladores. Dado el riesgo de abuso, este dominio no se publicará”. Esta no es la primera vez que Los Manipuladores se pegan un tiro en el pie. En 2019, The Manipulators no pudo renovar su nombre de dominio principal: manipuladores.[.]com, el mismo vinculado a muchas de las operaciones comerciales pasadas y actuales de la empresa. Ese dominio fue rápidamente adquirido por Scylla Intel, una empresa de inteligencia cibernética que se centra en conectar a los ciberdelincuentes con sus identidades de la vida real. Actualmente, The Manipulators parece centrado en desarrollar y respaldar HeartSender, que se especializa en spam y servicios de spam de correo electrónico a SMS. «El nuevo interés de los manipuladores en el spam de correo electrónico a SMS podría ser una respuesta al aumento masivo de la actividad de smishing que se hace pasar por el USPS», escribió DomainTools. «Las pruebas publicadas en el canal Telegram de HeartSender contienen numerosas referencias a la suplantación del servicio postal, incluida la prueba de la entrega de señuelos de phishing con temática de USPS y la venta de un kit de phishing de USPS». Contactado por correo electrónico, la identidad de Saim Raza se negó a responder preguntas sobre los hallazgos de DomainTools. «Primero [of] En general, nunca trabajamos con virus o computadoras comprometidas, etc.”, respondió Raza. “Si quieres escribir así de falso, adelante. Segundo ya salgo del país. Si alguien vincula algo con un archivo exe y lo difunde en Internet, no es mi culpa”. Cuando se le preguntó por qué abandonaron Pakistán, Saim Raza dijo que las autoridades allí sólo querían extorsionarlos. “Después de tu artículo, nuestra policía puso FIR en mi [identity]”, explicó Saim Raza. «FIR» en este caso significa «Primer informe informativo», que es la denuncia inicial en el sistema de justicia penal de Pakistán. “Sólo reciben dinero de mí y nada más”, continuó Saim Raza. “Ahora algunos agentes vuelven a pedir dinero. Hermano, no existe una buena ley en Pakistán, sólo necesitan dinero”. Saim Raza tiene un historial de ser escurridizo con la verdad, así que quién sabe si Los Manipuladores y/o sus líderes en realidad han huido de Pakistán (puede que se trate más bien de unas largas vacaciones en el extranjero). Con un poco de suerte, estos muchachos pronto se aventurarán en una nación más amigable con Occidente y con “buenas leyes” y recibirán una cálida bienvenida por parte de las autoridades locales.

Source link