Een beginnende cybercrime -acteur is waargenomen met behulp van de diensten van een Russische bulletproof -hosting (BPH) -aanbieder genaamd Proton66 om hun activiteiten te vergemakkelijken.
De bevindingen zijn afkomstig van Domaintools, die de activiteit ontdekten nadat het een nepwebsite heeft ontdekt met de naam CybersecureProtect (.) Com gehost op Proton66 die zich vermomd als een antivirusdienst.
Het bedreigingsinformatiebedrijf zei dat het een falen van Operational Security (OPSEC) in het domein heeft geïdentificeerd dat zijn kwaadaardige infrastructuur blootstelde, waardoor de kwaadaardige ladingen op de server werden onthuld.
“Deze openbaring leidde ons door een konijnenhol naar de activiteiten van een opkomende dreigingsacteur die bekend staat als Coquettte – een amateur -cybercrimineel hefboomwerking Proton66’s kogelvrije hosting om malware te distribueren en andere illegale activiteiten aan te gaan,” zei het in een rapport gedeeld met de Hacker News.
Proton66, ook gekoppeld aan een andere BPH -service die bekend staat als Prospero, is toegeschreven aan verschillende campagnes die desktop- en Android -malware zoals Gootloader, Matanbuchus, Spynote, Coper (AKA Octo) en Socgholish distribueren. PHIBE -pagina’s die op de service worden gehost, zijn via SMS -berichten gepropageerd om gebruikers te misleiden om hun bankreferenties en creditcardinformatie in te voeren.
Coquettte is een dergelijke dreigingsacteur die gebruik maakt van de voordelen die het Proton66 -ecosysteem bieden om malware te distribueren onder het mom van legitieme antivirushulpmiddelen.
Dit neemt de vorm aan van een ZIP-archief (“Cybersecure Pro.zip”) dat een Windows-installatieprogramma bevat dat vervolgens een tweede-fase malware downloadt van een externe server die verantwoordelijk is voor het leveren van secundaire payloads van een command-and-control (C2) Server (“CIA (.) TF”).
De tweede fase is een lader geclassificeerd als Rugmi (aka Penguish), die in het verleden is gebruikt om informatie-stealers zoals Lumma, Vidar en Raccoon te implementeren.
Verdere analyse van de digitale voetafdrukken van Coquettte heeft een persoonlijke website aan het licht gebracht waarop ze beweren een “19 -jarige software -ingenieur te zijn, die een diploma in softwareontwikkeling nastreeft”.
Bovendien is het CIA (.) TF -domein geregistreerd bij het e -mailadres “root@coquettte (.) Com,”, bevestigend dat de dreigingsacteur de C2 -server controleerde en de nepcybersecurity -site als een malwaredistributiehub heeft beheerd.
“Dit suggereert dat Coquettte een jong individu is, mogelijk een student, die aansluit bij de amateuristische fouten (zoals de Open Directory) in hun cybercrime -inspanningen,” zei Domaintools.
De ondernemingen van de dreigingsacteur zijn niet beperkt tot malware, want ze hebben ook andere websites uitgevoerd die gidsen verkopen voor de productie van illegale stoffen en wapens. Coquettte wordt verondersteld losjes gebonden te zijn aan een bredere hackgroep die de naam horrid heet.
“Het patroon van overlappende infrastructuur suggereert dat de personen achter deze sites zichzelf kunnen noemen als ‘afschuwelijke’, waarbij Coquettte een alias is van een van de leden in plaats van een eenzame acteur,” zei het bedrijf.
“De affiliatie van de groep met meerdere domeinen gebonden aan cybercriminaliteit en illegale inhoud suggereert dat het functioneert als een incubator voor inspirerende of amateurcybercriminelen, het bieden van middelen en infrastructuur aan diegenen die zich willen vestigen in ondergrondse hackingcirkels.”
