Ukrainske myndigheter identifiserte en mistenkt infostealer-operatør knyttet til tyveriet av 28 000 nettkontoer tilhørende kunder hos en California-basert nettbutikk. Etterforskere opplyste at skadevaren stjal innloggingsopplysninger, nettlesercookies og autentiseringsdata fra infiserte enheter.

Etterforskningen ble gjennomført av ukrainsk cyberpoliti i samarbeid med amerikanske myndigheter. Myndighetene opplyste at de stjålne kontoene senere ble brukt til svindel og uautoriserte kjøp.

Etterforskere sporet operasjonen

Myndighetene identifiserte en 18 år gammel mistenkt fra Odesa som angivelig administrerte systemer brukt til å behandle og selge stjålne kontodata.

Forskere opplyste at angriperne samlet inn innloggingsopplysninger, nettlesersesjonscookies og autentiseringstokener fra infiserte enheter. Den stjålne informasjonen ble senere distribuert gjennom underjordiske cyberkriminelle kanaler.

Etterforskere knyttet operasjonen til rundt 28 000 kompromitterte kundekontoer hos den berørte nettforhandleren.

Kriminelle brukte kontoene til svindel

Myndighetene opplyste at angriperne brukte tusenvis av de stjålne kontoene til uautoriserte kjøp.

Etterforskere anslo at rundt 5 800 kontoer aktivt ble misbrukt til svindeltransaksjoner. Aktiviteten skal ha ført til økonomiske tap på flere hundre tusen dollar gjennom svindel og chargebacks.

Forskere advarte om at stjålne sesjonscookies og autentiseringstokener kan gjøre det mulig for angripere å omgå passord og i enkelte tilfeller MFA-beskyttelse.

Sesjonskapring har blitt stadig vanligere i moderne infostealer-operasjoner. Angripere kan få tilgang til allerede autentiserte kontoer uten å måtte kjenne brukernes passord.

Politiet beslagla enheter og infrastruktur

Ukrainsk cyberpoliti gjennomførte ransakinger knyttet til etterforskningen. Politiet beslagla datamaskiner, mobile enheter, lagringsmedier og økonomiske bevis.

Myndighetene sikret også infrastruktur som angivelig var knyttet til behandling av legitimasjonsopplysninger og salg av stjålne kontoer på undergrunnsmarkeder.

Etterforskere opplyste at de beslaglagte systemene inneholdt bevis knyttet til skadevareoperasjoner, kryptovalutaaktivitet og plattformer brukt til distribusjon av stjålne kontodata.

Tjenestemenn bekreftet identifiseringen av den mistenkte og beslag av bevismateriale, men offentliggjorde ingen formelle siktelser på dette tidspunktet.

Infostealer-skadevare fortsetter å vokse

Infostealer-skadevare er fortsatt en av de raskest voksende truslene i cyberkriminalitetsøkosystemet. Disse skadevarefamiliene stjeler passord, nettlesercookies, autentiseringstokener, økonomiske data og informasjon fra kryptolommebøker på infiserte systemer.

Sikkerhetsforskere fortsetter å advare om at tyveri av nettlesersesjoner skaper alvorlige risikoer. Angripere kan kapre aktive sesjoner uten alltid å trenge brukernes passord.

Moderne infostealer-operasjoner drives ofte gjennom malware-as-a-service-økosystemer med utviklere, operatører og videreselgere.

Denne modellen har gjort storskala kampanjer for legitimasjonstyveri enklere å lansere og tjene penger på.

Stjålne legitimasjoner brukes i større angrep

Forskere advarer om at stjålne legitimasjonsopplysninger ofte brukes i ytterligere kriminell aktivitet utover kontosvindel.

Kompromitterte kontoer og sesjonstokener dukker jevnlig opp i ransomware-angrep, business email compromise-operasjoner, økonomisk svindel og kryptotyveri.

Telegram-kanaler og svindelmarkedsplasser hjelper nå cyberkriminelle med å distribuere stjålne kontodata raskt.

Sikkerhetseksperter anbefaler at organisasjoner overvåker mistenkelig innloggingsaktivitet nøye. De anbefaler også å avslutte aktive sesjoner umiddelbart etter mistanke om skadevareeksponering.

Konklusjon

Etterforskningen av den mistenkte infostealer-operatøren viser den voksende skalaen til moderne operasjoner for tyveri av legitimasjonsopplysninger. Myndighetene koblet skadevarekampanjen til 28 000 kompromitterte kontoer og omfattende svindelaktivitet.

Forskere advarer om at infostealers fortsatt utgjør alvorlige risikoer for nettlesersesjoner, autentiseringstokener og skytilkoblede kontoer.


0 responses to “Infostealer-operatør knyttes til 28 000 stjålne kontoer”