Ba công dân Nigeria bị tình nghi là thành viên của một nhóm tội phạm mạng có tổ chức đứng sau việc phát tán phần mềm độc hại, thực hiện các chiến dịch lừa đảo và lừa đảo rộng rãi Business Email Compromise (BEC) đã bị bắt tại thành phố Lagos, Interpol hôm qua đưa tin.
Cuộc điều tra, được đặt tên là “Hoạt động Falcon“do tổ chức cảnh sát quốc tế cùng với công ty an ninh mạng Group-IB có trụ sở tại Singapore và Lực lượng cảnh sát Nigeria, cơ quan thực thi pháp luật chính tại nước này, thực hiện.
Cho đến nay, khoảng 50.000 nạn nhân mục tiêu của các âm mưu tội phạm đã được xác định, khi cuộc điều tra tiếp tục theo dõi các thành viên băng đảng bị nghi ngờ khác và các phương thức kiếm tiền mà nhóm này sử dụng.
Sự tham gia của Group-IB vào hoạt động kéo dài một năm là một phần của Dự án Gateway của Interpol, cung cấp khuôn khổ cho các thỏa thuận với các đối tác khu vực tư nhân được chọn và trực tiếp nhận thông tin về mối đe dọa.
Interpol cho biết: “Các nghi phạm bị cáo buộc đã phát triển các liên kết lừa đảo, tên miền và các chiến dịch gửi thư hàng loạt, trong đó chúng mạo danh đại diện của các tổ chức”. “Sau đó, họ sử dụng các chiến dịch này để phổ biến 26 chương trình phần mềm độc hại, phần mềm gián điệp và các công cụ truy cập từ xa, bao gồm AgentTesla, Loki, Azorult, Spartan và nanocore và Remcos Remote Access Trojan.”
Ngoài việc thực hiện các chiến dịch BEC và gửi email có chứa tệp đính kèm email có chứa phần mềm độc hại, các cuộc tấn công còn được sử dụng để xâm nhập và giám sát hệ thống của các tổ chức và cá nhân nạn nhân, dẫn đến sự xâm nhập của ít nhất 500.000 công ty chính phủ và khu vực tư nhân trong hơn 150 quốc gia kể từ năm 2017.
Dựa theo Nhóm-IB, ba cá nhân – chỉ được xác định bằng tên viết tắt OC, IO và OI – được cho là thành viên của một băng nhóm mà nó đã theo dõi dưới biệt danh TMT, một băng tội phạm mạng sung mãn mà theo nó được chia thành nhiều nhóm con nhỏ hơn dựa trên phân tích cơ sở hạ tầng và kỹ thuật của những kẻ tấn công.
Một số chiến dịch lừa đảo qua email hàng loạt của họ dưới hình thức mua đơn đặt hàng, yêu cầu sản phẩm và thậm chí viện trợ COVID-19 mạo danh các công ty hợp pháp, với các nhà khai thác sử dụng Gammadyne Mailer và Turbo-Mailer để gửi email lừa đảo. Nhóm cũng dựa vào MailChimp để theo dõi xem người nhận có mở thư hay không.
Mục tiêu cuối cùng của các cuộc tấn công, Group-IB lưu ý, là đánh cắp dữ liệu xác thực từ các trình duyệt, email và máy khách FTP từ các công ty ở Mỹ, Anh, Singapore, Nhật Bản, Nigeria, v.v.
Giám đốc Tội phạm mạng của Interpol Craig Jones lưu ý: “Nhóm này đang điều hành một mô hình kinh doanh tội phạm có tiếng tăm. “Từ thâm nhập đến rút tiền mặt, họ đã sử dụng vô số công cụ và kỹ thuật để tạo ra lợi nhuận tối đa.”
