Кто стоит за аферой по вымогательству с помощью камеры Screencam?

В прошлом месяце мошенничество с электронной почтой по секс вымогательству, которое задействовало реальный пароль, используемый каждым получателем, и угрожало запустить неловкое видео с веб-камеры, почти наверняка было работой не одного преступника или даже не одной группы преступников. Вероятнее всего, что дополнительные спаммеры и мошенники накапливали свои собственные версии фишинговой электронной почты после того, как заметили, что некоторые получатели фактически платили. Правда в том, что мы никогда не узнаем, кто за это ответственен, но все равно интересно проследить за некоторыми многообещающими ссылками и посмотреть, куда они нас ведут.

7 августа 2018 года пользователь на форуме бесплатного почтового сервиса hMailServer опубликовал копию полученного им сообщения о секс вымогательстве, отметив, что она содержит пароль, который он ранее использовал в Интернете.
Полезно, что этот пользователь выставил большое количество информации из сообщения электронной почты со спамом, включая имя домена, с которого оно было отправлено (williehowell-dot-com), и интернет-адрес сервера, который отправил сообщение (46.161.42.91).
Просмотр других доменных имен, зарегистрированных для этого блока IP-адресов 46.161.42.x, раскрывает некоторые интересные закономерности:
46.161.42.51 mail25.uscourtsgov[.]com
46.161.42.52 mail24.uscourtsgov[.]com
46.161.42.53 mail23.uscourtsgov[.]com
46.161.42.54 mail22.uscourtsgov[.]com
46.161.42.55 mail21.uscourtsgov[.]com
46.161.42.56 mail20.uscourtsgov[.]com
46.161.42.57 mail19.uscourtsgov[.]com
46.161.42.58 mail18.uscourtsgov[.]com
46.161.42.59 mail17.uscourtsgov[.]com
46.161.42.60 mail16.uscourtsgov[.]com
46.161.42.61 mail15.uscourtsgov[.]com
46.161.42.62 mail14.uscourtsgov[.]com
46.161.42.63 mail13.uscourtsgov[.]com
46.161.42.64 mail12.uscourtsgov[.]com
46.161.42.65 mail11.uscourtsgov[.]com
46.161.42.66 mail10.uscourtsgov[.]com
46.161.42.67 mail9.uscourtsgov[.]com
46.161.42.68 mail8.uscourtsgov[.]com
46.161.42.69 mail7.uscourtsgov[.]com
46.161.42.70 mail6.uscourtsgov[.]com
46.161.42.71 mail5.uscourtsgov[.]com
46.161.42.72 mail4.uscourtsgov[.]com
46.161.42.73 mail3.uscourtsgov[.]com
46.161.42.74 mail2.uscourtsgov[.]com
46.161.42.75 mail1.uscourtsgov[.]com
46.161.42.76 mail[.]commarysmith[.]com
46.161.42.77 mail.joancooper[.]com
46.161.42.78 mail.florencewoods[.]com
46.161.42.79 mail.ednawest[.]com
46.161.42.80 mail.ethelwebb[.]com
46.161.42.81 mail.eleanorhunt[.]com
46.161.42.82 mail.sallypierce[.]com
46.161.42.83 mail.reginaberry[.]com
46.161.42.84 mail.junecarroll[.]com
46.161.42.85 mail.robertaharper[.]com
46.161.42.86 mail.reneelane[.]com
46.161.42.87 mail.almaaustin[.]com
46.161.42.88 mail.elsiekelley[.]com
46.161.42.89 mail.vickifields[.]com
46.161.42.90 mail.ellaoliver[.]com
46.161.42.91 mail.williehowell[.]com
46.161.42.92 mail.veramccoy[.]com
46.161.42.93 mail.agnesbishop[.]com
46.161.42.94 mail.tanyagilbert[.]com
46.161.42.95 mail.mattiehoffman[.]com
46.161.42.96 mail.hildahopkins[.]com
46.161.42.97 beckymiles[.]com
46.161.42.98 mail.fayenorris[.]com
46.161.42.99 mail.joannaleonard[.]com
46.161.42.100 mail.rosieweber[.]com
46.161.42.101 mail.candicemanning[.]com
46.161.42.102 mail.sherirowe[.]com
46.161.42.103 mail.leticiagoodman[.]com
46.161.42.104 mail.myrafrancis[.]com
46.161.42.105 mail.jasminemaxwell[.]com
46.161.42.106 mail.eloisefrench[.]com

Поищите в гугле любой из этих доменов с двумя именами выше (например, fayenorris-dot-com), и вы увидите, что практически все они использовались в подобных письмах с секс вымогательством, и большинство из них были зарегистрированы в конце мая 2018 года через регистратор доменов Namecheap.
Обратите внимание на преобладание домена uscourtsgov-dot-com в списке выше. Все эти домены с двумя именами использовали серверы доменных имен (DNS-серверы) от uscourtsgov-dot-com во время отправки этих электронных писем. В начале июня 2018 года uscourtsgov-dot-com был связан с мошенничеством по выкупу в компании Sigma, присланным через спам. Жертвы, которые хотели вернуть свои файлы, должны были заплатить выкуп биткоинами.

В течение нескольких месяцев, незадолго до мошеннических действий с паролем по секс афере или с вымогательством выкупа uscourtsgov-dot-com, uscourtsgov-com избавился от контента, за исключением сообщения о рассылке спама веб-сайтом mtaexpert-dot-info. Uscourtsgov-dot-com сейчас не в сети, но он был активен две недели назад. Вот как выглядела его домашняя страница:

Интересно, что это же сообщение о раскрутке mtaexpert-dot-info появилось на домашних страницах многих других доменных имен с двумя именами, упомянутых выше (включая fayenorris-dot-com):

В области доставки электронной почты MTA выступает в качестве агента по пересылке почты, и эта компания MTA Expert, по сути, является анонимной службой рассылки спама. Снимок экрана ниже взят из кэшированной копии интернет-архива mtaexpert-dot-info:

Mtaexpert-dot-info не раскрывает, кто владеет сайтом, а текущие регистрационные WHOISзаписи домена скрыты службами конфиденциальности. Но благодаря архивным пошаговымWHOIS записям находим на Domaintools.com [полное раскрытие:
Domaintools является рекламодателем на этом сайте], мы видим, что примерно в течение недели в мае 2018 года завеса конфиденциальности WHOIS ненадолго исчезла, и обнаружилась следующая запись:
Имя регистратора: ХИЧАМААЛЛАМ
Организация регистратора: investissonsorg
Улица регистратора: RED ANASS BLOC 26 N 3
ROUTEDETETOUANE
Город регистратора: ТАНГЕР
Штат / провинция регистратора: Тангер-Тетуан
Почтовый индекс регистратора: 90001
Страна регистрации: MA
Телефон владельца регистрации: +212.626280317
Доп.тел.регистратора:
Факс регистратора:
Доп.факс регистратора:
Электронная почта владельца регистрации: [email protected]

Кто такой Хичам Ааллам? Согласно его странице в LinkedIn, он является маркетологом электронной почты, живет в Марокко и работает в компании под названием ActiveSunNetwork. В его резюме говорится, что он также работает на AdGenics, которая, по мнению антиспам-группы Spamhaus, занимается известной спамерской деятельностью с долгой и грязной историей. AdGenics, она жеCaboNetworks,она жеSIFT Logic, в настоящее время занимает шестое место в списке Spamhaus десяти самых худших спаммеров.

По связи через LinkedIn, Ааллам сказал, что он не знал, что его служба электронной почты использовалась либо в кампаниях по секс вымогательствам, илиповыкупам, связанным с вышеупомянутыми доменами. Он сказал, что объявление для Mtaexpert-dot-info автоматически показывается на главной странице любого сайта, который настроен на использование его скриптоврассылки электронной почты.
Ааллам говорит, что он взимает с клиентов плату за использование этих скриптов, но у него был только один совсем новый клиент: человек, который связался с ним по скайпу, с именем «brian.ortega_4», заплатил примерно $ 250 криптовалютой Ethereum (ETH) 3 апреля 2018 года для получения лицензии уMTA Expertsна почтовый скрипт. Вот запись этой транзакции. Все транзакции ETH, относящиеся к этому аккаунту и исходящие от него, можно увидеть здесь.

Итак, мы все еще не можем узнать, кто отвечает за отправку некоторых из этих писем о секс вымогательстве, ноон может быть одним из других клиентов Ааллама, стоящих за этими двумя схемами. Тем не менее, всегда интересно видеть, как далеко можно зайти, просто следуя нескольким сухим фактам.

И еще один последний шаг: область интернет-адресов занята доменами uscourtsgov-dot-com и по секс вымогательству — 46.161.42.0/24. В мае 2018 года RiskIQ опубликовала подробный отчет (в PDF формате) о сложной схеме фишинга, в которой использовался адрес, смежный с uscourtsgov-dot-com, в попытке украсть Ethereum у пользователей MyEtherWallet.
Зарегистрированным владельцем адресного пространства Интернета является «Барбарич_Вячеслав_Юрьевич», то же имя, что и владелец сети AS41995, она жеweb-shield-dot-biz.

Другой блок адресов, который мы видим на приведенном выше рисунке, назначенном для Web-Shield — 146.185.241.0/24 — содержит метрическую загрузку доменов, участвующих в продаже украденных кредитных карт.
Лояльные читатели этого сайта заметят знакомый домен: Rescator. Он принадлежит опытному киберпреступнику с таким же именем, который, среди всего прочего, был тесно связан со взломами Target и SallyBeauty. До сегодняшнего дня — почти через четыре года после взлома Target–на домашней странице украденного Rescator магазина карточек появляется почтовый штамп с картинкой «Искренне Ваш»с надписью «На правах рекламы kidala.su».

https://kidala.su хотела бы поблагодарить исследователя безопасности Троя Мурша и борца против спама Рона Гилметта за их помощь в этом исследовании.