ICQ 903445 - Кребс в безопасности

Предыдущие истории в моя серия Pharma Wars определили топ-фишек за некоторыми из самых больших спам-ботнетов. Сегодняшняя публикация делает это и многое другое, в том числе никогда ранее не публиковавшуюся информацию о «Google», ведущем хакере самого загруженного в мире спам-ботнета - Cutwail . Предыдущие истории в   моя серия Pharma Wars   определили топ-фишек за некоторыми из самых больших спам-ботнетов

Статистика спама за декабрь 2011 от M86Security

На протяжении многих лет Cutwail входит в тройку самых плодотворных спам-ботнетов. С недавний тейкдаун из Rustock ботнет Cutwail теперь является лучшим спам-ботом; в соответствии с M86 Security На версии Cutwail приходится около 22 процентов ежедневного объема спама во всем мире.

Исследователи в области безопасности широко анализировали технические механизмы, которые обеспечивают работу Cutwail (так называемые «Pushdo» и «Pandex»), но до сих пор мало что было опубликовано о мозгах, стоящих за ним. Krebs On Security узнал, что лицо, несущее основную ответственность за разработку и сдачу в аренду этой криминальной машины другим злоумышленникам, было основным источником дохода для SpamIt , до недавнего времени крупнейшей в мире партнерской программы мошеннических интернет-аптек.

К тому времени, как он присоединился к SpamIt в начале 2007 года, хакер по имени Google уже провел несколько лет, настраивая свой спам-ботнет. Всего за несколько месяцев до его закрытие в октябре 2010 года SpamIt был взломан, а его данные о клиентах и ​​филиалах просочились в Интернет. Данные показывают, что Google использовал около десятка партнерских аккаунтов в SpamIt и заработал около 175 000 долларов в виде комиссионных за рекламу мошеннических онлайн-аптек SpamIt с помощью Cutwail.

Но Google заработал бы гораздо больше денег, сдавая свою ботнету другим спамерам, и филиалы SpamIt быстро стали его крупнейшей клиентской базой. Интересно, что владельцы SpamIt первоначально обратились за помощью к Google не для того, чтобы спамить мошеннические аптеки, а чтобы запустить новую партнерскую программу под названием Warezcash для продажи программного обеспечения «OEM» - в основном пиратских копий Microsoft Windows и других дорогостоящих программных продуктов.

Эта связь очевидна из сотен журналов чата между Google и соучредителем SpamIt Дмитрием «Saintd» Ступиным . Беседы были частью тысяч часов журналов полученные российскими следователями по киберпреступности кто исследовал компьютер Ступина. Чаты были позже просочились в онлайн, и дают редкий взгляд на повседневные операции Cutwail с точки зрения ботмастера. Они также предоставляют дразнящие подсказки относительно реальной идентичности Google и его коллег. Ниже приведены фрагменты этих разговоров, переведенные с их оригинального русского языка на английский носителями русского языка.

МУЖСКАЯ МАШИНА

Некоторые из лучших технических анализов Cutwail были опубликованы в начале этого года в статье исследователей из Университета Калифорнии, Санта-Барбара и Рурского университета в Бохуме. подробно описано как ботнет Cutwail управлялся, арендовался и рекламировался на эксклюзивных форумах SpamIt. От их бумага (PDF):

«Спам-движок Cutwail известен на спам-форумах под названием 0bulk Psyche Evolution , где он сдается в аренду сообществу спам-партнеров. Эти филиалы платят ботмастерам Cutwail плату за использование их ботнет-инфраструктуры. В свою очередь, клиентам предоставляется доступ к веб-интерфейсу (доступному на русском или английском языке), который упрощает процесс создания и управления спам-кампаниями… »

Партнерские записи SpamIt показывают, что Google зарегистрировался в программе, используя адрес электронной почты psyche.evolution@gmail.com (согласно историческим записям WHOIS, доменное имя psyche-evolution.com было зарегистрировано в 2005 году по тому же адресу электронной почты для организаций, называемых «0bulk corp.» В Москве).

В нескольких чатах со Ступином Google описывает, как он и его друзья переключались на аптечную рассылку спама, когда продвижение акций через спам стал менее прибыльным. В дискуссии 25 февраля 2007 года Google сказал, что он «арендовал программное обеспечение для спама» для конкурирующих спам-партнерских программ «Mailien», «Bulker» и «Aff Connection», и что все его клиенты имели большой успех в конвертации. трафик в продажах. «Мы занимались рассылкой спама, но теперь акции начали плохо конвертировать, поэтому мы решили спамить параллельно с некоторыми партнерскими программами. Мы организовывали людей, давали им задания. Мы спамили их только неделю, но я думаю, что у нас все получится ».

Продолжить чтение →