#image_title

Хакер из христианской школы. Россиянина заподозрили в создании спам-бота для криптомошенников

Darknet News Проишествия

Независимый американский журналист Брайан Кребс (Brian Krebs) предпринял попытку деанонимизации лидера группы разработчиков спам-ботнета, с помощью которого криптомошенники заманивают на свои ресурсы пользователей социальной сети Mastodon. Полученными результатами, а также деталями беседы с российским хакером, он поделился в отдельном материале.

Независимый американский журналист Брайан Кребс (Brian Krebs) предпринял попытку деанонимизации лидера группы разработчиков спам-ботнета, с помощью которого криптомошенники заманивают на свои ресурсы пользователей социальной сети Mastodon.

Спам-ботнет обрушился на Mastodon

Программист-фрилансер, работающий над модернизацией и масштабированием инфраструктуры проекта Mastodon Рено Шапю (Renaud Chaput) рассказал Кребсу о том, что 4 мая 2023 года кто-то запустил поток спама, нацеленный на пользователей криптосообществ через опцию приватных упоминаний. В сообщениях говорилось, что жертвы спама получили инвестиционный кредит на платформе для торговли криптовалютой под названием moonxtrade.com. При этом Шапю утверждает, что для регистрации новых учетных записей спамеры использовали более 1,5 тысячи адресов у 400 различных провайдеров. Они подписывались на криптоинвесторов и применяли перекрестное упоминание другие спам-аккаунтов. 

Суммарно за три недели были прорекламированы около сотни доменов, посвященных инвестициям в крипту. На это наслоилась активность в относительно непопулярной соцсети Mastodon ботов, что начало вызывать перегруз серверов, ответственных за регистрации. По словам Шапю, вместо трех регистраций в минуту площадка столкнулась с 900. Вскоре после этого началась точечная DDoS-атака на mastodon.social и mastondon.online, в ходе которой на протяжении трех часов эти домены получали 200-400 тысяч запросов ежесекундно.

Что любопытно, многие из свежих спам-аккаунтов были зарегистрированы с помощью протокола авторизации 0auth, а общим для этих учеток был домен quot.pw.

«Дешево делаю ботов и прочий мусор»

Кребс выяснил, что последним владельцем этого домена был житель Краснодара с адресом электронной почты edgard011012@gmail.com. Он связан с учетными записями на нескольких российских даркнет-форумах, например с пользователем с ником __edman__, который продавал логи взломанных устройств и доступы к устройствам интернета вещей (IoT). Кроме того, в сентябре 2018 года некто зарегистрировал с использованием адреса edgard0111012@gmail.com аккаунт цыпа на Lolzteam. В мае 2020 года он сказал в беседе с другим участником проекта, что quot.pw является его доменом.

«Я дешево делаю ботов для Telegram и прочий мусор», — говорится в одной из веток продаж от цыпы за февраль 2020 года. При этом с ним можно было установить контакт в Telegram с помощью ссылки в его профиле с пользователем Quotpw. Так Кребс начал диалог со спамером.

На вопрос, знал ли он, что его домен используется для управления ботнетом, который забрасывал Mastodon спамом с криптомошенничеством, Quotpw заявил, что спам был создан его программным обеспечением.

«Это было сделано для ограниченного круга людей», — сказал Quotpw, отметив, что недавно он выпустил программное обеспечение для ботов с открытым исходным кодом на GitHub.

Далее Quotpw сообщил, что спам-ботнет на самом деле куда массивнее, чем те несколько сотен IP-адресов, которые отслеживает Шапю, добавив, что речь идет преимущественно о резидентных прокси. Собеседник Кребса отметил, что за последние несколько недель он заработал более двух тысяч долларов, отправив около ста тысяч приватных упоминаний пользователям различных сообществ Mastodon. При этом Quotpw упомянул, что в его родном городе «за такую работу платят больше, чем за “белую” работу», и предложил Кребсу подумать о величине зарплат в России.

Хакер в христианской школе?

Однако этой беседой журналист не ограничился, выяснив, что edgard011012@gmail.com сменил регистрационные данные для quot.pw. Почту msr-sergey2015@yandex.ru дополнил австрийский телефон +436607003748.

Компания Constella Intelligence, отслеживающая утечки данных, обнаружила, что адрес msr-sergey2015@yandex.ru был связан с аккаунтами на сайтах мобильных приложений aptoide.com (пользователь CoolappsforAndroid) и vimeworld.ru, которые были созданы с разных интернет-адресов в Вене (Австрия). Поиск в Skype по этому австрийскому номеру телефона вывел Кребса на Сергея Прошутинского, который указал в качестве своего местоположения Вену. В профиле человека с таким же именем на LinkedIn указано, что в 2024 году он окончит TGM — христианскую миссионерскую школу в Австрии. В его резюме также говорится, что он — стажер по обработке данных в Mondi Group, австрийском производителе экологичной упаковки и бумаги.

Сергей Прошутинский не ответил на запросы Кребса о комментариях. При этом Quotpw в беседе начал отрицать, что он и является Прошутинским. Он заявил, что тот был его другом, а домен зарегистрировал в качестве подарка на день рождения в прошлом году.

«Он даже не специалист по информационной безопасности, — сказал Quotpw о Прошутинском. — Мои друзья не принадлежат к этой области. Никто из моих друзей не занимается мошенничеством или другой незаконной деятельностью».

Таким образом, пусть Кребс и не доказал, кто точно скрывается за спам-атаками на криптоинвесторов, он на минимальное расстояние приблизился к разгадке.

Источник:Darknet News