Las agencias de aplicación de la ley de los Estados Unidos y los holandeses han anunciado que han desmantelado 39 dominios y sus servidores asociados como parte de los esfuerzos para interrumpir una red de mercados en línea que se originan en Pakistán.
La acción, que tuvo lugar el 29 de enero de 2025, ha sido nombrado Operación Heart Blocker.
La amplia gama de sitios en cuestión de kits de herramientas de phishing y herramientas que habilitan el fraude y fue operado por un grupo conocido como Saim Raza desde al menos 2020, que también se conoce como Heartsender.
Luego, estas ofertas fueron utilizadas por grupos de delitos organizados transnacionales para atacar a varias víctimas en los Estados Unidos como parte de varios esquemas de compromiso de correo electrónico comercial (BEC), lo que lleva a pérdidas por un total de más de $ 3 millones.
«Los sitios web de Saim Raza operaron como mercados que anunciaron y facilitaron la venta de herramientas como kits de phishing, páginas de estafas y extractores de correo electrónico, a menudo utilizados para construir y mantener operaciones de fraude», dijo el Departamento de Justicia de los Estados Unidos (DOJ).
«No solo Saim Raza hizo que estas herramientas estén ampliamente disponibles en Internet abierto, sino que también capacitó a los usuarios finales sobre cómo usar las herramientas contra las víctimas al vincular a videos instructivos de YouTube sobre cómo ejecutar esquemas utilizando estos programas maliciosos, haciéndolas accesibles a criminales actores que carecían de esta experiencia criminal técnica «.
Las herramientas anunciadas en los mercados también permitieron cosechar las credenciales de los usuarios de las víctimas, que posteriormente se utilizaron para promover los esquemas fraudulentos, agregó el Departamento de Justicia.
En una declaración coordinada, los oficiales de policía holandeses dijeron que el grupo criminal vendió varios programas para facilitar el fraude digital, que podrían emplear los cibercriminales para enviar correos electrónicos de phishing a escala o robar credenciales de inicio de sesión. Se estima que el servicio tuvo miles de clientes antes de su cierre.
Los usuarios pueden verificar si se encuentran entre los afectados por el robo de credenciales visitando la URL «www.politie (.) NL/checkjehack» e ingresando sus direcciones de correo electrónico.
La entidad del delito cibernético, también conocido como los Manipulaters, fue expuesto por primera vez por el periodista de seguridad independiente Brian Krebs en mayo de 2015, con un informe de DomaTingools el año pasado que identifica lapsos de seguridad operacional que indica que varios sistemas asociados con los actores de amenaza han sido comprometidos por el malware del robador. .
«Aunque carece de la sofisticación técnica que tienen muchos otros proveedores de delitos cibernéticos grandes, su característica más notable es ser uno de los primeros mercados de delitos cibernéticos centrados en el phishing para integrar horizontalmente su modelo de negocio y al mismo tiempo difundir sus operaciones en varias tiendas de marca por separado», dijo la compañía.
«La evidencia sugiere que los nuevos miembros se han unido y al menos un miembro temprano de los manipuladores dejó el grupo. Parecen tener una presencia física en Pakistán, incluidas Lahore, Fatehpur, Karachi y Faisalabad».
El desarrollo sigue al derribo de los mercados penales en línea como Cracked, Nulled, Sellix y Starkrdp como parte de una operación de aplicación de la ley coordinada denominada talento para finales de enero de 2025.