La polizia informatica ucraina ha identificato un sospettato diciottenne accusato di aver gestito una campagna di malware di infostealer legata al furto di circa 28.000 account online e centinaia di migliaia di dollari in transazioni fraudolente.
Secondo le autorità ucraine, il sospetto, con base a Odessa, avrebbe usato malware infostealer per compromettere account clienti collegati a un rivenditore online in California. Gli investigatori hanno detto che l’operazione ha permesso ai cybercriminali di ottenere accesso non autorizzato a migliaia di account utenti, molti dei quali sono stati successivamente abusati per acquisti fraudolenti e furti finanziari.
Le forze dell’ordine hanno dichiarato che gli attacchi hanno portato ad acquisti non autorizzati su circa 5.800 conti compromessi, generando circa 721.000 dollari di transazioni fraudolente. I funzionari hanno inoltre riportato perdite finanziarie dirette di circa 250.000 dollari relative a chargeback e costi di frode associati.
L’indagine è stata condotta congiuntamente dalla polizia informatica ucraina e dalle autorità di polizia statunitensi. Durante le perquisizioni collegate al sospetto, gli investigatori avrebbero sequestrato apparecchiature informatiche, dispositivi mobili, carte bancarie e prove digitali collegate all’operazione malware.
Le autorità hanno dichiarato che l’aggressore ha utilizzato un malware infostealer per infettare segretamente i dispositivi delle vittime e raccogliere credenziali di accesso, dati di autenticazione e altre informazioni sensibili. I dati rubati venivano poi trasmessi all’infrastruttura controllata dagli attaccanti e successivamente utilizzati per accedere agli account clienti senza autorizzazione.
Gli infostealer rimangono una delle forme più diffuse di malware per il cybercrimine grazie alla loro capacità di raccogliere silenziosamente credenziali, cookie del browser, informazioni finanziarie, dati di portafoglio di criptovalute e token di autenticazione da sistemi contaminati. I ricercatori di sicurezza avvertono che le credenziali rubate ottenute tramite infezioni da infostealer vengono spesso vendute su forum clandestini di cybercrimini o riutilizzate in operazioni più ampie di frodi, ransomware e phishing.
I gruppi criminali informatici distribuiscono sempre più infostealers tramite email di phishing, estensioni di browser dannose, software pirata, installatori di software falsi, applicazioni crack e siti web compromessi. Molte moderne operazioni di infostealer funzionano anche secondo modelli di malware-as-a-service, permettendo ad attaccanti meno tecnicamente esperti di noleggiare infrastrutture malware e servizi di credenziali rubate.