사이버 범죄자의 언더 그라운드를 모니터링하고 있다고 종종 뜻밖의 방향으로 전개 할 수 있습니다. 트렌드 마이크로는 러시아 언더 그라운드 포럼에서 사이버 범죄자 작성에서 13 만 6 천 건 이상의 절취 한 신용 카드 정보를 확인했습니다.
■ 러시아 언더 그라운드 브라질에서 작성
이번 추적은 러시아의 언더 그라운드 포럼에서 확인 된 리뷰에서 시작되었습니다 (그림 1).
 |
이것은 "acmpassagens"라고 자칭하는 사용자가 POS (판매 시점 정보 관리) 시스템을 겨냥한 악성 프로그램 "Virtual Skimmer"에 관해 협력을 기대하고 리뷰 한 것입니다. 이 게시물 자체가 내세워 희귀 한 것은 아닙니다. 그러나 다음의 2 점에서 눈길을 끌었습니다. 하나는이 게시물은 러시아어로 적혀 있지만, 러시아어 원어민에 의해 쓰여진 것이 아니라, 문장이 어색했던 것입니다. 다른 하나는이 포스트는 400 개 이상의 주유소 및 점포의 POS 단말기에 액세스 할 수 있다고하고 있습니다 만, 모든 브라질 국내이었다 것이었다. 즉, 사용자는 브라질에서 러시아의 언더 그라운드 포럼에 게시했습니다.
"acmpassagens"는 자신의 이메일 주소 (acmpassagens3@yahoo.com.br)과 Skype 계정 (acmpassagens)를 작성 메시지에 기재되어있었습니다. 이들과 사용자 이름을 사용하여이 인물의 온라인에서 다른 행동을 추적 할 수 있습니다. 예를 들어, Microsoft의 공식 포럼 에서 "acmpassagens"신용 카드 판독 장치에 관한 질문에 답변하고, 소프트웨어를 판매하는 게시물있었습니다.
 |
신용 카드 스키밍에 대한 동영상이 사용자의 메일 주소가 기재되어 있습니다 (그림 3). 따라서 관심있는 사용자가 자신의 "사업"에 참가하고 싶은 경우에, 직접 연락을 취할 수있었습니다.
 |
당초 "acmpassagens"되는 인물의 정체를 파악 단서는 온라인 상에없는 것처럼 보였습니다. Microsoft는이 인물이 사용하는 메일 주소와 두 Skype 계정 (acmpassagens 및 _brenosk815)을 구했습니다.
우리가이 안건을 보류하려고하던 중 Google 검색에서 믿을 수없는 대성공을 당겼습니다. 온라인 파일 저장 서비스 "4shared"에서 "acmpassagens"가 사용하는 계정을 발견했습니다. 게다가이 계정에 저장되어있는 1GB 분의 파일은 모두 공개되어, 유저 명이나 패스워드없이 누구나 인터넷에서 볼 수있게되어있었습니다.
 |
 |
■ "4shared"계정 내용
"4shared"계정에 포함 된 파일은 "acmpassagens"지금까지 수행해온 사이버 범죄 기록처럼 보입니다. 악성 프로그램과 피싱 사이트 편지지 사이버 범죄자와 공범 피해자의 개인 정보라고 생각되는 다양한 파일이 거기에 저장되어있었습니다.
원래 「acmpassagens "은 누구입니까? 이 계정에 따르면, "Breno Franco"라고 자칭하는 브라질 국적의 남성입니다. 자신을 "사업가"라며, 브라질에서 8 번째로 인구가 많은 도시, 살바도르에 공식적인 주소를 가지고 있습니다. 이 계정에는 자신의 사진도 발견되었습니다.
 |
Franco 씨는 다른 사용자와 통신하기 위해 다음의 메일 주소를 사용했습니다.
- acmpassagens@hotmail.com
- acmpassagens2@yahoo.com.br
- acmpassagens3@yahoo.com.br
- brenosk@gmail.com
- buracoclub@yahoo.com
- faelballestero@gmail.com
또한 Franco 씨의 "Money-Mule (운송업자)"에 대한 정보도 다수 확인되었습니다. 당사는 Visa 카드 명세서 나 은행 계좌 명세서를 포함하여 각종 서류를 확인했습니다.
 |
이들 중 일부는 진짜 서류는 없습니다. 그러나 여권과 브라질 공식 신분증 사본 등 운송업자의 개인 정보와 생각되는 것이 포함되어 있었다 (그림 7). 이 문서가 실제 사람의 것인지, 또한 이러한 여권이 위조 된 것인지를 판단하는 것은 어렵습니다.Microsoft는 "4shared"에 여권 위조를 위해 만든 Photoshop 파일을 확인하고 있습니다. 또한 운송업자의 1 명과 Franco 씨의 사이에 교환 된 IP 전화의 통화 기록도 남아있었습니다.
 |
Franco 씨가 절취 한 정보는 어떨까요. 당사는 향후 사용하기 위해 저장된 13 만 6 천건의 신용 카드 번호와 생각되는 정보를 해당 계정에서 확인했습니다.
 |
10 만 7 천 건 이상이 Visa되어 2 만 건 이상이 MasterCard입니다. 나머지 경미한 건수를 다른 카드 회사가 나누어 쓰고 있습니다. Visa는 FIFA의 공식 파트너 가되고, 이것이 Visa 고객이 피해를 당하기 쉬운 설명이되어 있을지도 모릅니다.
"4shared"계정에는 Franco 씨가 자신의 공격에 이용한 것으로 보인다 도구도 포함되어있었습니다. "Virtual Skimmer」나 「BlackPOS"같은 POS 단말기를 대상으로 한 악성 프로그램이 저장되어 있으며, Franco 씨 게시 메시지에서 언급 한 공격을 실행하는 데 사용 된 수 있습니다.
상술 한 잘못된 도구 외에 절취 한 카드 정보의 처리에 유효한 2 개의 파일도 확인되었습니다. 하나는 절취 한 유효한 신용 카드 번호 신용 카드를 만들 때 사용하는 파일입니다. 또 하나는 신용 카드 번호를 확인하는 데 사용하는 파일에서 "T3ST4D0R C0D3R (CC VALIDA)"으로 알려진 것입니다. 사이버 범죄자들은 검증을 위해 정품 소프트웨어 를 악용하고 있습니다.
또한 피싱 사이트에 대한 다양한 편지지가 "4shared"계정에 저장되어있었습니다 (그림 9). 이러한 피싱 사이트는 최근 실제로 확인 된 것도 있습니다. 이러한 피싱 사이트는 브라질에서 개최 된 월드컵 에 편승 한 것입니다.
 |
이러한 피싱 사이트 편지지 하나는 브라질 레스토랑 겸 점포의 Web 사이트를 빼앗아 업로드되었습니다. 이 Web 사이트의 파일은 2 가지로 나눌 수 있습니다. 하나는 2011 년경 정품 Web 사이트를 만들고 마지막으로 수정 된 때 파일이고 다른 하나는 2014 년에 Franco 씨가이 Web 사이트를 하이재킹 피싱 페이지를 올리기 위해서 이용한 파일입니다.
■ 결론
사이버 범죄자의 언더 그라운드는 한때 집단에 대해 명확하게 나뉘어 운영되고있었습니다. 예를 들어 러시아의 언더 그라운드, 중남미의 언더 그라운드 그룹 등입니다. 하지만 과거의 일이되었습니다. 사이버 범죄자들은 국경을 넘어 손에 들어가는 다양한 도구와 자원을 결합하게되어 있습니다.
사이버 범죄자가 협력하여 범죄를하게되면 그 공격은 진정한 국제적인 것이 될 것입니다. 당사는 사이버 범죄에 맞서기 위해 앞으로도 법 집행 기관과 긴밀하게 협력하고 지원 정보를 제공하고 있습니다.
[업데이트 정보]
| 2014/07/14 | 18:00 | 그림 1의 설명 본문의 일부를 업데이트했습니다. |
참고 기사 :
'Security_News > 해외보안소식' 카테고리의 다른 글
| 해킹에 불구하고 보안은 우선순위에서 밀려 (0) | 2014.07.17 |
|---|---|
| Keeping the RATs out: an exercise in building IOCs - Part 1 (0) | 2014.07.16 |
| 호텔 비즈니스센터 컴퓨터 악성코드 감염 확인해야 (0) | 2014.07.16 |
| 운송회사에서 사용하는 스캐너에 악성코드 발견 (0) | 2014.07.16 |
| 美, 보잉사 정보 절도죄로 중국 항공사 대표 기소 (0) | 2014.07.16 |