Çocuk Cinsel İstismar Materyalini (CSAM) indirip paylaşan binlerce pedofil, karanlık web'de sızan bilgi çalan kötü amaçlı yazılım günlükleri ile tanımlandı ve kolluk soruşturmalarında çalıntı kimlik bilgilerini kullanmanın yeni bir boyutunu vurguladı.
Veri kümesinin yeni kullanımı, CSAM dağıtımı için bilinen yasadışı portallara erişen 3.324 benzersiz hesabı nasıl belirlediklerini açıklayan bir rapor paylaşan kaydedilmiş Future's Inker grubu tarafından gerçekleştirildi.
Hedeften çalınan diğer verilerden yararlanarak, Insikt analistleri bu hesapları çeşitli platformlardaki kullanıcı adlarına izleyebilir, IP adreslerini ve hatta sistem bilgilerini alabilir.
Insikt Grubu tarafından toplanan bu bilgiler, bu bireylerin kimliklerini maskelemek ve tutuklamalara devam etmek için kolluk kuvvetleri ile paylaşılmıştır.
Stealer Log, enfekte sistemlerden Redline, Raccoon ve Vidar gibi bilgi çalma kötü amaçlı yazılımları tarafından belirli bir bireyden çalınan bir veri koleksiyonudur.
Bu tür kötü amaçlı yazılımlar bir cihazda yürütüldüğünde, kimlik bilgileri, tarayıcı geçmişi, tarayıcı çerezleri, otomatik doldurma verileri, kripto para birimi cüzdanı bilgileri, ekran görüntüleri ve sistem bilgileri toplarlar.
Bilgi daha sonra "Log" adlı bir arşive paketlenir ve daha sonra tehdit oyuncusu sunucularına geri aktarılır.
Tehdit aktörleri daha sonra bu çalınan kimlik bilgilerini daha fazla hesabı ihlal etmek, kurumsal saldırılar yapmak veya karanlık ağ, telgraf ve diğer platformlarda diğer siber suçlulara satmak için kullanabilir. Boyutları ve sayısı nedeniyle, bu kütükler nadiren incelenir ve kategorize edilir, ancak daha çok toplu olarak satılır.
Önceki analizler, bilgi tahsilatçısı günlüklerinin, özel bilgileri ortaya çıkarabilecek hesaplara önemli işletme hesabı verileri veya kimlik bilgileri içerebileceğini göstermiştir.
Bu tür kötü amaçlı yazılımlar genellikle korsan yazılım, kötüverizasyon ve sahte güncellemeler yoluyla dağıtıldığından, kurban fark etmeden enfekte sistemlerden verileri uzun süre sifonlayabilirler.
Bu, bilgileri olmadan, çevrimiçi bankacılık, e -posta ve diğer meşru hesaplar için tüm kimlik bilgilerini ve kayıt gerektiren CSAM sitelerine erişmek için kullanılan hesap kimlik bilgilerini ortaya çıkaran CSAM kullanıcılarını içerir.
INIKT analistleri, bilinen yirmi CSAM alanına sahip çalıntı kimlik bilgilerini çapraz referans alarak CSAM tüketicilerini tanımlamak için Şubat 2021 ve Şubat 2024 arasında yakalanan infostealer günlüklerini kullandılar.
Daha sonra sonuçları 3.324 benzersiz kullanıcı adı-password çiftine daraltmak için kopyaları kaldırdılar.
Bilgi çalma kötü amaçlı yazılım bir tarayıcıda kaydedilen tüm kimlik bilgilerini çaldığından, araştırmacılar CSAM hesap sahiplerini e-posta, bankacılık, çevrimiçi alışveriş, mobil taşıyıcılar ve sosyal medya gibi yasal çevrimiçi hesaplarına bağlayabildiler.
Daha sonra bu kullanıcılar hakkında daha açıklayıcı bilgi toplamak için açık kaynak zekası (OSINT) ve dijital eserler kullandılar. Bu ipuçları şunları içerir:
Kaydedilen Future'ın raporu, aşağıdaki gibi özetlenen üç tanımlanmış birey vakasını vurgulamaktadır:
Insinkt'in analizi, çocuk istismarı izlemeyi izlemek ve bireyleri kovuşturmak için kolluk kuvvetlerine yardımcı olan infostealer verilerinin potansiyelini vurgulamaktadır.
Yeni açılmayan Hemlock Tehdit Oyuncusu Sistem Sistemleri Kötü Yazılımlarla Sistemler
Sahte Google Chrome hataları sizi kötü niyetli Powershell komut dosyaları çalıştırmaya kandırıyor
Europol, kötü amaçlı yazılım yükleyici botnetlerine bağlı 8 siber suçluyu tanımlar
Polis 100'den fazla kötü amaçlı yazılım sunucusu ele geçirdi, dört siber suçlu tutukladı
Bilgisayar korsanları, kötü amaçlı yazılım ve Monero madencileri bırakmak için HFS sunucularına saldırıyor
Kaynak: Bleeping Computer