Karma raggiunge il servizio di phishing globale 16Shop

Jun 27, 2023

Probabilmente non hai mai sentito parlare di “16Negozio”, ma ci sono buone probabilità che qualcuno che lo utilizza abbia tentato di phishing.

Una pagina di phishing di 16Shop che falsifica Apple e prende di mira gli utenti giapponesi. Immagine: Akamai.com.

L'organizzazione internazionale della poliziaINTERPOL ha dichiarato la settimana scorsa di aver chiuso il famigerato 16Shop, una popolare piattaforma di phishing-as-a-service lanciata nel 2017 che ha reso semplice anche per i principianti assoluti condurre truffe di phishing complesse e convincenti. L'INTERPOL ha affermato che le autorità indonesiane hanno arrestato il proprietario 21enne e uno dei suoi presunti facilitatori, e che un terzo sospettato è stato arrestato in Giappone.

La dichiarazione dell'INTERPOL afferma che la piattaforma ha venduto strumenti di hacking per compromettere più di 70.000 utenti in 43 paesi. Considerando da quanto tempo esiste 16Shop e quanti clienti paganti ha goduto nel corso degli anni, quel numero è quasi certamente altamente conservativo.

Inoltre, la vendita di "strumenti di hacking" non rende bene l'idea di 16Shop: era una piattaforma di phishing completamente automatizzata che forniva alle sue migliaia di clienti una serie di kit di phishing specifici del marchio da utilizzare e forniva i nomi di dominio necessari. per ospitare le pagine di phishing e ricevere eventuali credenziali rubate.

Gli esperti di sicurezza che hanno indagato su 16Shop hanno scoperto che il servizio utilizzava un'interfaccia di programmazione dell'applicazione (API) per gestire i propri utenti, un'innovazione che consentiva ai suoi proprietari di bloccare l'accesso ai clienti che non pagavano una tariffa mensile o a coloro che tentavano di copiare o piratare il phishing. kit.

16Shop localizzava anche le pagine di phishing in più lingue e il servizio mostrava contenuti di phishing rilevanti a seconda della geolocalizzazione della vittima.

Varie esche 16Shop per utenti Apple in diverse lingue. Immagine: Akamai.

Ad esempio, nel 2019McAfeeha scoperto che per gli obiettivi in ​​Giappone, il kit 16Shop raccoglierebbe anche l'ID Web e la password della carta, mentre alle vittime statunitensi verrà chiesto il numero di previdenza sociale.

"A seconda della località, 16Shop raccoglierà anche numeri di identificazione (inclusi ID civile, ID nazionale e ID cittadino), numeri di passaporto, numeri di previdenza sociale, codici di ordinamento e limiti di credito", ha scritto McAfee.

Inoltre, 16Shop ha utilizzato vari trucchi per aiutare le pagine di phishing dei suoi utenti a rimanere fuori dal radar delle società di sicurezza, inclusa una "lista nera" locale di indirizzi Internet legati alle società di sicurezza e una funzionalità che consentiva agli utenti di bloccare interi intervalli di indirizzi Internet dall'accesso pagine di phishing.

L'annuncio dell'INTERPOL non nomina nessuno dei sospettati arrestati in relazione all'indagine 16Shop. Tuttavia, diverse società di sicurezza, tra cui Akamai, McAfee e ZeroFox, avevano precedentemente collegato il servizio a un giovane indonesiano di nomeRiswanda Noor Saputra, che ha venduto 16Shop sotto lo pseudonimo di hacker "Devilscream.”

Secondo il blog sulla sicurezza indonesianoCyberthreat.id, Saputra ha ammesso di essere l'amministratore di 16Shop, ma ha detto alla pubblicazione di aver ceduto il progetto ad altri entro l'inizio del 2020.

16Documentazione del negozio che istruisce gli operatori su come distribuire il kit. Immagine: ZeroFox.

Tuttavia, Cyberthreat ha riferito che Devilscream è stato arrestato dalla polizia indonesiana alla fine del 2021 come parte di una collaborazione tra INTERPOL e ilFederal Bureau of Investigation degli Stati Uniti (FBI). Tuttavia, i ricercatori che hanno monitorato 16Shop sin dal suo inizio affermano che Devilscream non era il proprietario originale della piattaforma di phishing, e potrebbe non essere l’ultimo.

Non è raro che i criminali informatici infettino accidentalmente i propri computer con malware che rubano le password, e questo è esattamente ciò che sembra essere successo con uno dei più recenti amministratori di 16Shop.

Constella Intelligence, una piattaforma di ricerca sulle violazioni dei dati e sugli autori di minacce, ora consente agli utenti di fare riferimenti incrociati ai siti Web di criminalità informatica più diffusi e agli abitanti di questi forum con infezioni malware involontarie da parte di trojan che rubano informazioni. Una ricerca in Constella sul nome di dominio di 16Shop mostra che a metà del 2022, un amministratore chiave del servizio di phishing ha infettato il loro computer desktop Microsoft Windows con il trojan ladro di informazioni Redline, apparentemente scaricando una copia crackata (e segretamente backdoor) di Adobe Photoshop.