Mutmaßlicher Cyber-Krimineller “Dr. Hex” über Phishing-Kit aufgespürt

  • Sicherheitsforscher haben enthüllt, wie sie durch geduldige Detektivarbeit einen mutmaßlichen Cyber-Kriminellen aufspüren und identifizieren konnten, der schließlich im Mai verhaftet wurde.

    Eine zweijährige Untersuchung der Person, die oft unter dem Online-Namen “Dr. Hex” auftrat, endete, als die Operation Lyrebird von Interpol den Mann Anfang des Jahres in Marokko aufspürte.

    Das Threat Intelligence-Team von Group-IB behauptete, dass die Person seit 2009 aktiv war und angeblich für Phishing, Verunstaltung, Malware-Entwicklung, Betrug und Carding verantwortlich war, was zu Tausenden von ahnungslosen Opfern führte. Darunter waren Kunden französischer Telekommunikationsunternehmen, Banken und anderer multinationaler Unternehmen.

    Die Spur begann, als das Threat-Intelligence-Team ein Phishing-Kit identifizierte und deanonymisierte, das zum Angriff auf eine französische Bank verwendet wurde. Es stellte fest, dass fast jedes im Kit verwendete Skript den Namen “Dr. Hex” und eine E-Mail-Adresse enthielt.

    Diese E-Mail führte sie zu einem YouTube-Kanal, der unter demselben Namen angemeldet war, sowie zu einer arabischen Crowdfunding-Plattform, die einen weiteren mit der Person verbundenen Namen enthüllte. Dieser Name wurde offenbar verwendet, um zwei Domains zu registrieren, die mit der E-Mail aus dem Phishing-Kit erstellt wurden.

    “Mithilfe ihrer patentierten Technologie zur Analyse von Graphen-Netzwerken erstellten die Forscher von Group-IB einen Netzwerkgraphen, der auf der E-Mail-Adresse aus dem Phishing-Kit basierte und andere Elemente der bösartigen Infrastruktur des Bedrohungsakteurs zeigte, die von ihm in verschiedenen Kampagnen zusammen mit seinen persönlichen Seiten verwendet wurden”, so Group-IB.

    “Insgesamt wurden fünf E-Mail-Adressen identifiziert, die mit dem Beschuldigten in Verbindung stehen, zusammen mit sechs Nicknames und seinen Konten auf Skype, Facebook, Instagram und YouTube.”

    Eine weitere Analyse dieses digitalen Fußabdrucks ergab, dass der Bedrohungsakteur von 2009 bis 2018 mehr als 130 Webseiten verunstaltet und auch auf Untergrundplattformen gepostet hat – was darauf hindeutet, dass er an der Entwicklung von Malware beteiligt war.

    Die Recherchen halfen Interpol und der marokkanischen Polizei, die Person schließlich aufzuspüren.

    “Dies ist ein bedeutender Erfolg gegen einen Verdächtigen, dem vorgeworfen wird, über Jahre hinweg ahnungslose Einzelpersonen und Unternehmen in verschiedenen Regionen ins Visier genommen zu haben, und der Fall unterstreicht die Bedrohung, die von der Cyberkriminalität weltweit ausgeht”, kommentiert Stephen Kavanagh, Interpol-Exekutivdirektor für Polizeidienste.

    “Die Verhaftung dieses Verdächtigen ist das Ergebnis hervorragender internationaler Ermittlungsarbeit und neuer Wege der Zusammenarbeit sowohl mit der marokkanischen Polizei als auch mit unseren wichtigen Partnern aus dem privaten Sektor wie Group-IB.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com