Mutmaßlicher ‘Dr. HeX’ Hacker für 9 Jahre Phishing verhaftet

  • Der ungenannte Verdächtige soll an der Entwicklung von Carding- und Phishing-Kits mitgewirkt haben, mit dem Ziel, die Bankkartendaten von Kunden zu stehlen.

    Ein marokkanischer Mann, der verdächtigt wird, “Dr. HeX” zu sein – der produktive Bedrohungsakteur, der neun Jahre lang Tausende von Opfern durch Phishing, Verunstaltung von Websites, Entwicklung von Malware, Betrug und Kartenbetrug angegriffen hat – wurde verhaftet.

    Interpol kündigte die Verhaftung – die im Mai in Marokko stattfand – am Dienstag an und beschrieb sie als das Ergebnis einer gemeinsamen zweijährigen Untersuchung mit dem Namen Operation Lyrebird, bei der Interpol eng mit der marokkanischen Polizei und der Sicherheitsfirma Group-IB zusammenarbeitete.

    Der ungenannte Verdächtige soll geholfen haben, Carding- und Phishing-Kits zu entwickeln, um sie in kriminellen Online-Foren zu verkaufen. Ein Beispiel für eine Carding-Site ist Joker’s Stash, die im Dezember abgeschaltet wurde. Sie war ein beliebtes Ziel von Cyberkriminellen, die sich auf den Handel mit Zahlungskartendaten spezialisiert hatten und Millionen gestohlener Kredit- und Debitkarten zum Kauf anboten.

    Wie in der Ankündigung von Interpol beschrieben, nutzten die Käufer der Karten- und Phishing-Kits von Dr. HeX diese, um sich als Online-Banking-Einrichtungen auszugeben, was es dem Verdächtigen und anderen ermöglichte, “sensible Informationen zu stehlen und vertrauenswürdige Personen zu betrügen, um finanziellen Gewinn zu erzielen, wobei die Verluste von Einzelpersonen und Unternehmen online veröffentlicht wurden, um für diese bösartigen Dienste zu werben.”

    Wir haben ein solches Beispiel dafür gesehen, wie die Carding Economy im Oktober funktioniert, als die in Dallas ansässige Räucherfleisch-Franchise Dickey’s Barbecue Pit 3 Millionen Kundenzahlungskarten auf der Website auftauchen sah. Jeder, der die Informationen erwirbt, könnte geklonte Karten erstellen, um sie an Geldautomaten oder an Automaten in Geschäften, die nicht chipfähig sind, zu benutzen; oder er kann die Informationen einfach benutzen, um Dinge online zu kaufen.

    Laut einem Bericht von Group-IB war der Verdächtige angeblich an Angriffen auf 134 Websites im Laufe von neun Jahren, von 2009-2018, beteiligt und hinterließ seinen Spitznamen “Dr HeX” auf den angegriffenen Webseiten. Dr. HeX war nur einer der Spitznamen, die der Verdächtige angeblich verwendet hat, aber das ist derjenige, den die Sicherheitsfirma gewählt hat, um den Bedrohungsakteur zu nennen, den sie verfolgt hat.

    Eine Identität aus einem Phishing-Kit herauspressen

    Der Ausgangspunkt für die Bemühungen der Group-IB-Forscher, Dr. HeX aufzuspüren und zu enttarnen, war die Extraktion eines Phishing-Kits, d. h. eines Tools, das zur Erstellung von Phishing-Webseiten verwendet wird. Dieses Phishing-Kit wurde verwendet, um die Marke einer großen französischen Bank auszunutzen, so der Bericht der Forscher.

    Das Phishing-Kit benutzte ein typisches Setup, beschrieben sie: Es umfasste “die Erstellung einer gefälschten Website eines Zielunternehmens, die massenhafte Verteilung von E-Mails, die sich als dieses Unternehmen ausgeben und die Benutzer auffordern, Anmeldeinformationen auf der gefälschten Website einzugeben. Die Anmeldedaten, die die ahnungslosen Opfer auf der gefälschten Seite hinterließen, wurden dann an die E-Mail des Täters weitergeleitet.”

    Fast alle im Phishing-Kit enthaltenen Skripte waren mit der Signatur ihres Erstellers, Dr. HeX, versehen und hatten eine Kontakt-E-Mail-Adresse.

    Dr. HeX mochte diesen Spitznamen sehr: Forscher der Group-IB fanden heraus, dass der YouTube-Kanal des mutmaßlichen Angreifers mit demselben Namen signiert war. In einem der YouTube-Videos auf seinem Kanal hinterließ der Angreifer außerdem einen Link, der zu einer arabischen Crowdfunding-Plattform führte. Das gab den Forschern von Group-IB einen weiteren Hinweis auf den mutmaßlichen Cyberkriminellen.

    Der Name wurde auch verwendet, um “mindestens” zwei Domains zu registrieren, die mit der im Phishing-Kit gefundenen E-Mail erstellt wurden, so Group-IB.

    Anhand der E-Mail-Adresse aus dem Phishing-Kit identifizierten die Forscher weitere Elemente der bösartigen Infrastruktur des Bedrohungsakteurs: Fünf E-Mail-Adressen wurden mit dem Verdächtigen in Verbindung gebracht, insgesamt sechs Nicknames, und dann waren da noch seine Konten auf Facebook, Instagram, Skype und YouTube.

    Zwischen 2009 und 2018 fanden die Analysten heraus, dass Dr. HeX über 130 Webseiten verunstaltet hat. Außerdem entdeckten sie Beiträge des Cyberkriminellen “auf mehreren beliebten Untergrundplattformen, die für den Handel mit Malware bestimmt sind und auf seine Beteiligung an der Entwicklung von Malware hinweisen”, so Group-IB. Die Analysten fanden auch Beweise, die Dr. HeX mit Angriffen auf “mehrere große französische Unternehmen” in Verbindung bringen könnten, mit dem Ziel, “die Bankkartendaten der Kunden zu stehlen”.

    Der Beitrag von Group-IB zitierte Stephen Kavanagh, Interpol-Exekutivdirektor für Polizeidienste, der die Operation Lyrebird als “einen bedeutenden Erfolg gegen einen Verdächtigen bezeichnete, dem vorgeworfen wird, seit Jahren ahnungslose Einzelpersonen und Unternehmen in mehreren Regionen ins Visier genommen zu haben.”

    “Der Fall wirft ein Schlaglicht auf die Bedrohung, die von der Cyberkriminalität weltweit ausgeht”, so Kavanagh weiter. “Die Festnahme dieses Verdächtigen ist das Ergebnis hervorragender internationaler Ermittlungsarbeit und neuer Wege der Zusammenarbeit, sowohl mit der marokkanischen Polizei als auch mit unseren wichtigen Partnern aus dem privaten Sektor wie Group-IB.”

    Sehen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com