El imperio de spam «FudCo» vinculado a la empresa de software de Pakistán – Krebs on Security
En mayo de 2015, KrebsOnSecurity describió brevemente «Los manipuladores“, El nombre elegido por un prolífico grupo de delitos cibernéticos con sede en Pakistán que vendía herramientas de spam y una gama de servicios para crear, alojar y entregar correo electrónico malicioso de manera muy pública. Seis años después, una revisión de las publicaciones de este grupo en las redes sociales muestra que lo están haciendo bien mientras ocultan sus actividades bastante mal detrás de una empresa de desarrollo de software en Lahore que secretamente ha hecho posible una generación de spammers y estafadores.
El sitio web de 2015 para el equipo de manipuladores, un grupo de piratas informáticos paquistaníes detrás de la identidad de la web oscura de Saim Raza que vende herramientas y servicios de spam y malware.
La marca principal de los manipuladores clandestinos es una identidad ciberdelincuente común llamada «Saim Raza«¿Quién ha vendido un servicio popular de spam y phishing en docenas de foros y sitios web de ciberdelincuencia durante la última década?»Fudtools«,»Fudpage«,»Fudsender, «Etc.
El acrónimo – «FUD» – que se ha utilizado en casi todas las áreas de Saim Raza a lo largo de los años significa «F.ully Unorte-D.etectable ”y se refiere a recursos de ciberdelincuencia que no pueden ser detectados por herramientas de seguridad como software antivirus o dispositivos antispam.
Uno de los varios sitios actuales de Fudtools operados por The Manipulators.
El sitio web actual de Saim Razas Fud Tools (arriba) tiene plantillas de phishing o sitios de «estafa» para una variedad de sitios en línea populares, como Oficina 365 y Dropbox. También venden productos «Doc Exploit» que incluyen software malintencionado con documentos inofensivos de Microsoft Office; «Alojamiento Scampage» para sitios de phishing; una variedad de herramientas de eliminación de spam como HeartSender; y software diseñado para ayudar a los spammers a enrutar sus correos electrónicos maliciosos a través de sitios web, cuentas y servicios comprometidos en la nube.
En los años hasta 2015 «[email protected]“Era el nombre en los documentos de registro de miles de dominios fraudulentos que forjaron algunos de los principales bancos y marcas del mundo, pero sobre todo Apple y Microsoft. Ante esto, el fundador de The Manipulators dijo Madih-ullah Riaz respondió: “No alojamos ni permitimos el phishing u otros sitios web abusivos. Con respecto a la suplantación de identidad, eliminamos inmediatamente los servicios cuando recibimos una queja. También hemos estado en el negocio desde 2006 «.
La red informática de manipuladores, alrededor de 2013. Imagen: Facebook
Dos años más tarde, KrebsOnSecurity recibió un correo electrónico de Riaz solicitando que se eliminara su nombre y el de su socio comercial de la historia de 2015.
«Dirigimos un negocio de alojamiento web y debido a su contribución hemos tenido problemas muy serios, en particular ningún centro de datos nos ha aceptado», escribió Riaz en un correo electrónico con fecha de mayo de 2017. «Puedo ver que está publicando sobre delincuentes, estamos no hay criminales, al menos no lo sabemos «.
Riaz dijo que el problema es que el sistema de facturación de su compañía usó incorrectamente el nombre y la información de contacto de The Manipulators en lugar de sus clientes en los registros de registro de WHOIS. Ese descuido, dijo, llevó a muchos investigadores a atribuirlos erróneamente a actividades que provenían de unos pocos clientes malos.
«Trabajamos duro para ganar dinero y es mi petición, 2 años de mi nombre en tu maravilloso artículo es suficiente castigo y hemos aprendido de nuestros errores», concluyó.
Los manipuladores pueden haber aprendido algunos trucos nuevos, pero afortunadamente mantener sus operaciones subterráneas con brechas de aire de su verdadera identidad no es uno de ellos.
FIABILIDAD OPERACIONAL CERO
Los nombres de dominio de phishing registrados con The Manipulators incluían una dirección en Karachi con el número de teléfono 923218912562. El mismo número de teléfono se utiliza en los registros de WHOIS para más de 4000 dominios registrados a través de Proveedor de dominio[.]trabajo, un dominio controlado por The Manipulators que parece ser un revendedor de otro proveedor de nombres de dominio.
Uno de los muchos anuncios de Saim Raza en el ciberdelito clandestino para su servicio Fudtools es la promoción del dominio. fudpage[.]comy los registros de WHOIS de ese dominio tienen el mismo número de teléfono de Karachi. En los registros de WHOIS de Fudpage, el contacto se identifica como «[email protected]“, Otra dirección de correo electrónico utilizada por The Manipulators para registrar dominios.
Como noté en 2015, el equipo manipulador obtuvo la configuración del Servicio de nombres de dominio (DNS) de otro servicio obviamente fraudulento llamado ‘FreshSpamTools[.]UE‘ofrecido por un compatriota paquistaní que también vendió convenientemente kits de herramientas de phishing dirigidos a varios bancos importantes.
Las entradas de WHOIS para FreshSpamTools enumeran brevemente la dirección de correo electrónico [email protected]cuál es la dirección de correo electrónico de una cuenta de Facebook de a. es equivalente a Bilal «Sunny» Ahmad Warraich (también conocido como Bilal Waddaich).
La foto de perfil actual de Bilal Waddaich en Facebook muestra a muchos empleados actuales y anteriores de We Code Solutions.
El perfil de Facebook de Warraich dice que fue nombrado especialista en soporte de TI en una empresa de desarrollo de software en Lahore. está trabajando Codificamos soluciones.
El sitio web de We Code Solutions.
Una revisión de los registros de alojamiento del sitio web de la empresa. wecodesolutions[.]NS muestran que en los últimos tres años ha compartido un servidor con solo un puñado de otros dominios, que incluyen:
-saimraza[.]Instrumentos -fud[.]Instrumentos -Transmisor de corazón[.]la red -fudspampage[.]com -fudteam[.]com -Autoescritura[.]com -facturación con código web[.]com -Panel antibot[.]com -vender en línea[.]Instrumentos
FUD CO
La foto de perfil en la página de Facebook de Warraich es una foto grupal de empleados actuales y anteriores de We Code Solutions. Muchas de las caras en esta foto han sido etiquetadas y vinculadas a sus respectivos perfiles de Facebook.
Por ejemplo, el perfil de Facebook de Burhan ul Haq, también conocido como «Burhan Shaxx“Dice que trabaja en relaciones humanas y soporte de TI para We Code Solutions. Mientras navega por las interminables selfies de Ul Haq en Facebook, es imposible ignorar un montón de fotos con diferentes pasteles de cumpleaños. y las palabras «Fud Co» escritas con guinda.
Las fotos de Burhan Ul Haq muestran muchos pasteles con temática de fud que los empleados de We Code Solutions disfrutaron con motivo del aniversario del equipo manipulador.
Sí, una revisión de las publicaciones de Facebook de los empleados de We Code Solutions muestra que este grupo ha estado celebrando un aniversario cada mayo durante al menos cinco años con un fud co cake, vino espumoso sin alcohol y una fiesta de fud co o una cena grupal. Echemos un vistazo más de cerca a este delicioso pastel:
El jefe de We Code Solutions parece ser un tipo llamado. ser Rameez Shahzad, la persona mayor en el centro de la foto grupal en el perfil de Facebook de Warraich. Se puede decir que Shahzad es el jefe porque es el centro de prácticamente todas las fotos de grupo que él y otros empleados de We Code Solutions han publicado en sus respectivas páginas de Facebook.
El jefe de We Code Solutions, Rameez Shahzad (con gafas de sol) está en el centro de esta foto grupal publicada por el empleado Burhan Ul Haq a la derecha de Shahzad.
Las publicaciones de Shahzad en Facebook son aún más reveladoras: el 3 de agosto de 2018, publicó una captura de pantalla de alguien que inició sesión en un sitio web con el nombre de usuario Saim Raza, la misma identidad que ha estado proxeneta con las herramientas de spam de Fud Co durante casi una década.
«Para [a] mucho tiempo, Mailwizz terminó «, escribió Shahzad como título:
Rameez Shahzad, director de We Code Solutions, publicó una captura de pantalla en Facebook de alguien que inició sesión en un sitio de WordPress con el nombre de usuario Saim Raza, la misma identidad ciberdelincuente que ha vendido el imperio de spam de FudTools durante más de 10 años.
Quienquiera que controlara a los ciberdelincuentes de Saim Raza tenía una inclinación por reutilizar la misma contraseña («lovertears») para docenas de direcciones de correo electrónico de Saim Raza. Una de las variaciones favoritas de Saim Raza de direcciones de correo electrónico era «game.changer @[pick ISP here]». Otra dirección de correo electrónico promovida por Saim Raza fue [email protected].
Por lo tanto, no fue sorprendente que Rameez Shahzad publicara una captura de pantalla del escritorio de su computadora en su cuenta de Facebook que mostraba que había iniciado sesión en una cuenta de Skype que comienza con el nombre «Juego». y una cuenta de Gmail que comienza con «bluebtc».
Imagen: Scylla Intel
KrebsOnSecurity intentó ponerse en contacto con We Code Solutions utilizando la dirección de correo electrónico de contacto en su sitio web: info @ wecodesolutions[.]pk – pero el mensaje regresó diciendo que no había tal dirección. Del mismo modo, una llamada al número de teléfono de Lahore que aparece en el sitio web generó un mensaje automático de que el número no estaba disponible. Ninguno de los empleados de We Code Solutions que fueron contactados directamente por correo electrónico o por teléfono respondió a las solicitudes de comentarios.
ERRORES POR NÚMEROS
Esta investigación de código abierto sobre The Manipulators y We Code Solutions es suficiente. Pero la verdadera guinda del pastel de Fud Co es que en algún momento de 2019 Los manipuladores no pudieron renovar su nombre de dominio principal – manipuladores[.]com: el mismo asociado con tantas transacciones comerciales pasadas y actuales de la empresa.
Este dominio fue rápidamente recogido por Scylla Intel, una firma de ciberinteligencia que se especializa en conectar a los ciberdelincuentes con sus identidades reales. UPS.
Cofundador de Scylla Sasha Angus dijo que los mensajes que inundaron sus bandejas de entrada una vez que configuraron un servidor de correo electrónico en ese dominio contenían rápidamente muchos de los detalles sobre The Manipulators que aún no conocían.
«Conocemos a los directores, su verdadera identidad, dónde están, dónde pasan el rato», dijo Angus. “Yo diría que tenemos varios miles de exhibiciones que posiblemente podríamos probar. Tenemos seis opciones el domingo como los chicos detrás de esta identidad de spammer de Saim Raza en los foros «.
Angus dijo que él y otro investigador informaron a los fiscales estadounidenses de sus hallazgos sobre The Manipulators en 2019, y que los investigadores habían expresado interés, pero también parecían abrumados por la cantidad de evidencia que era necesario recopilar y retener sobre las actividades de este grupo.
«Creo que una de las cosas que los investigadores encontraron difíciles en este caso no fue quién hizo qué, sino cuánto mal lo hicieron a lo largo de los años», dijo Angus. “Sigues caminando por ese agujero de conejo con estos tipos que nunca termina porque siempre hay más, y es bastante sorprendente. Eres productivo. Si tuvieran una seguridad operativa razonablemente decente, realmente podrían haber tenido éxito. Pero afortunadamente no lo hacen «.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
