Una pandilla cibernética de habla rusa conocida como Crazy Evil se ha relacionado con más de 10 estafas de redes sociales activas que aprovechan una amplia gama de señuelos a medida para engañar a las víctimas y engañarlas para que instalaran malware como Stealc, Atomic Macos Stealer (también conocido como Amos) y. Drenador de ángel.
«Especializado en fraude de identidad, robo de criptomonedas y malware que roba información, Crazy Evil emplea una red de traficantes bien coordinada: expertos en ingeniería social encargados de redirigir el tráfico legítimo a las páginas de phishing maliciosas», dijo el grupo Insikt de Future en un análisis.
El uso de un grupo de crptocam del arsenal de malware diverso es una señal de que el actor de amenaza está dirigido a usuarios de sistemas Windows y MacOS, lo que representa un riesgo para el ecosistema financiero descentralizado.
Se ha evaluado que Crazy Evil está activo desde al menos 2021, que funciona principalmente como un equipo de traficante encargado de redirigir el tráfico legítimo a las páginas de destino maliciosas operadas por otras tripulaciones criminales. Supuestamente dirigido por un actor de amenaza conocido en Telegram como @abrahamcrazyevil, sirve a más de 4,800 suscriptores en la plataforma de mensajería (@CrazyEvilCorp) a partir de la escritura.
«Monetizan el tráfico a estos operadores de botet que tienen la intención de comprometer a los usuarios ampliamente, o específicamente a una región, o un sistema operativo», dijo la compañía francesa de seguridad cibernética Sekoia en un informe de profundidad sobre los servicios de traficantes en agosto de 2022.
«Por lo tanto, el principal desafío que enfrenta el traficante es generar tráfico de alta calidad sin bots, no detectados o analizados por los proveedores de seguridad, y finalmente filtrado por el tipo de tráfico. En otras palabras, la actividad de los traficantes es una forma de generación de leads».
A diferencia de otras estafas que giran en torno a la creación de sitios de compras falsificados para facilitar las transacciones fraudulentas, Crazy Evil se centra en el robo de activos digitales que involucran tokens no fungibles (NFT), criptomonedas, tarjetas de pago y cuentas bancarias en línea. Se estima que ha generado más de $ 5 millones en ingresos ilícitos y comprometió decenas de miles de dispositivos a nivel mundial.
También ha ganado una nueva prominencia a raíz de las estafas de salida que involucran a otros dos grupos de delitos cibernéticos Markopolo y Cryptolove, los cuales fueron identificados previamente por Sekoia como responsables de una campaña de ClickFix utilizando páginas falsas de Google Meet en octubre de 2024.
«Crazy Evil victimiza explícitamente el espacio de criptomonedas con señuelos de phishing de lanza a medida», dijo el futuro grabado. «Los traficantes malvados locos a veces tardan días o semanas de tiempo de reconocimiento para alcanzar las operaciones de alcance, identificar objetivos e iniciar compromisos».
Además de orquestar cadenas de ataque que entregan robadores de información y drenadores de billeteras, los administradores del grupo afirman ofrecer manuales de instrucciones y orientación para sus formadores y servicios de Crypter para cargas útiles maliciosas y jactarse de una estructura afiliada para delegar las operaciones.
Crazy Evil es el segundo grupo de delitos cibernéticos después de Telekopye en ser expuesto en los últimos años, y centra sus operaciones en torno a Telegram. Los afiliados recién reclutados están dirigidos por un bot de telegrama controlado por el actor de amenaza a otros canales privados –
- Pagosque anuncia ganancias para los traficantes
- Troncoque proporciona un rastro de auditoría de ataques de robador de información, detalles sobre datos robados y si los objetivos son víctimas repetidas
- Informaciónque proporciona actualizaciones administrativas y técnicas regulares para los traficantes
- Chat globalque sirve como un espacio de comunicación principal para discusiones que van desde el trabajo hasta los memes
Se ha descubierto que el grupo de delitos cibernéticos comprende seis submarcados, Avland, tipado, Deland, Zomland, Defi y Kevland, cada uno de los cuales se ha atribuido a una estafa específica que implica engañar a las víctimas para instalar la herramienta de sitios web falsos,
- Renuncia (también conocido como avs | rg o venganza), que aprovecha la oferta de trabajo y las estafas de inversión para propagar a los robadores de strealc y amos bajo la apariencia de una herramienta de comunicación Web3 llamada Voxium («Voxiumcalls (.) Com»)
- Escritoque propaga al robador de Amos bajo la apariencia de un software de inteligencia artificial llamado Typerdex («Typerdex (.) ai»)
- Delandarque propaga al robador de Amos bajo la apariencia de una plataforma de desarrollo comunitario llamada Demeet («Demeet (.) Aplicación»)
- Zoomlandque aprovecha las estafas genéricas que se hacen pasar por zoom y wechat («app-whechat (.) com») para propagar el robador de amos
- Defique propaga al robador de Amos bajo la apariencia de una plataforma de gestión de activos digitales llamada Selenium Finance («Selenium (.) Fi»)
- Kevlandque propaga al robador de Amos bajo la apariencia de un software de reunión virtual mejorado con AI llamado Gatherum («Gatherum (.) Ca»)
«A medida que Crazy Evil continúa alcanzando el éxito, es probable que otras entidades cibercriminales emulen sus métodos, lo que lleva a los equipos de seguridad a permanecer perpetuamente atentos para evitar infracciones generalizadas y erosión de la confianza dentro de los sectores de criptomonedas, juegos y software», dijo el futuro registrado.
El desarrollo se produce cuando la compañía de seguridad cibernética expuso un sistema de distribución de tráfico (TDS) denominado TAG-124, que se superpone con los grupos de actividad conocidos como Landupdate808, 404 TDS, Kongtuke y Chaya_002. Se ha descubierto que los grupos de amenazas múltiples, incluidos los asociados con el ransomware de Rhysida, el ransomware entrelazado, la embuscada de TA866/Asylum, el cargador D3F@CK y TA582 usan los TD en sus secuencias de infección iniciales.
«TAG-124 comprende una red de sitios de WordPress comprometidos, servidores de carga útil controlados por actores, un servidor central, un servidor de administración sospechoso, un panel adicional y otros componentes», dijo. «Si los visitantes cumplen con criterios específicos, los sitios web comprometidos de WordPress muestran las páginas de destino de Google Chrome de Google Chrome, que finalmente conducen a infecciones por malware».
El futuro registrado también señaló que el uso compartido de TAG-124 refuerza la conexión entre las cepas de ransomware de Rhysida y el enclavamiento, y que las variaciones recientes de las campañas TAG-124 han utilizado la técnica ClickFix de instruir a los visitantes que ejecutaran un comando precopado a su portapapeles iniciar la infección por malware.
Algunas de las cargas útiles desplegadas como parte del ataque incluyen REMCOS RAT y Cleanuploader (también conocido como Broomstick o Oyster), el último de los cuales sirve como un conducto para Ransomware Rhysida y Interlock.
Los sitios de WordPress comprometidos, por un total de más de 10,000, también se han descubierto que actúa como un canal de distribución para Amos y Socgholish como parte de lo que se ha descrito como un ataque del lado del cliente.
«JavaScript cargado en el navegador del usuario genera la página falsa en un iframe», dijo el investigador de C/lateral Himanshu Anand. «Los atacantes usan versiones y complementos anticuados de WordPress para dificultar la detección de sitios web sin una herramienta de monitoreo del lado del cliente».
Además, los actores de amenaza han aprovechado la confianza asociada con plataformas populares como Github para alojar instaladores maliciosos que conducen al despliegue de Lumma Stealer y otras cargas útiles como Sectoprat, Vidar Stealer y Cobalt Strike Beacon.
La actividad de Trend Micro exhibe superposiciones significativas con tácticas atribuidas a un actor de amenaza denominado Goblin de Stargazer, que tiene un historial de uso de repositorios de GitHub para la distribución de la carga útil. Sin embargo, una diferencia crucial es que la cadena de infección comienza con sitios web infectados que redirigen a los enlaces de lanzamiento de Github maliciosos.
«El método de distribución de Lumma Stealer continúa evolucionando, con el actor de amenaza que ahora usa repositorios de GitHub para albergar malware», dijeron los investigadores de seguridad Buddy Tancio, Fe Cureg y Jovit Samaniego.
«El modelo de malware como servicio (MAAS) proporciona a los actores maliciosos un medio rentable y accesible para ejecutar ataques cibernéticos complejos y lograr sus objetivos maliciosos, aliviando la distribución de amenazas como el robador de Lumma».