Investigadores culpam argelino pelos ataques de phishing com o tema coronavírus
Um desenvolvedor de web argelino que afirma ter “uma história comprovada de trabalho na indústria da Internet” lançou golpes de e-mail com o tema coronavírus e ajudou a construir outras ferramentas de hacking, de acordo com um relatório da inteligência policial.
Samir Djelal, que supostamente usou o pseudônimo de Internet Cazanova Haxor, desenvolveu um software malicioso que foi usado em um ataque de phishing direcionado a contas municipais da Califórnia em março de 2020, afirma um relatório interno do California Cyber Security Integration Center, uma organização estadual destinada a facilitar a informação compartilhamento sobre ameaças digitais.
O perfil da ameaça, datado de 6 de abril de 2020, foi tornado público como parte do BlueLeaks, o banco de dados de 269 GB contendo dados sobre boletins policiais, materiais de treinamento e outros recursos legais retirados de centros de fusão de aplicação da lei. O Distributed Denial of Secrets, um grupo de transparência no estilo WikiLeaks , parece ter obtido o tesouro de informações depois que hackers violaram a Netsential, uma empresa de internet do Texas que lida com sites para agências policiais nos Estados Unidos. O Departamento de Segurança Interna está investigando a divulgação.
Neste caso, diz a polícia, um argelino chamado Samir Djelal pretendia roubar dados das vítimas no início da pandemia COVID-19 usando um endereço de e-mail que parecia pertencer a um funcionário anônimo do governo municipal da Califórnia, com o assunto “Awareness_Reg WHO, ”Pretendia assemelhar-se às informações da Organização Mundial da Saúde. A mensagem na verdade direcionava os usuários a um link que os pesquisadores vinculavam ao kit de phishing “Morphine” , que coleta nomes de usuário, senhas e outros dados das vítimas, mascarando-se como uma página legítima do Microsoft Office 365.
O mesmo hacker também desenvolveu um software destinado a roubar dados do PayPal, Netflix, American Express e Apple, entre outras organizações, estados consultivos da polícia.
Um exame mais aprofundado revelou conexões mais específicas. Os pesquisadores conectaram uma imagem do site do hacker em uma busca reversa de imagens do Instagram para encontrar um perfil de web design chamado “codewithcolors” que mencionava “Cazanova” e “Samir Djelal” no mesmo site. Os perfis pessoais de Djelal no Instagram e no Twitter também incluíram menção de codewithcolors.
“O comportamento de Djelal na mídia social e as declarações públicas após a divulgação pública de sua identidade sugerem que ele pode estar se preparando para se esconder e / ou pretende restringir suas atividades ilegais”, relatou o aviso da Califórnia.
Logo depois que os investigadores do California Cyber Security Integration Center verificaram independentemente algumas das descobertas dos pesquisadores, Djelal começou a higienizar seu comportamento nas redes sociais e a encerrar atividades suspeitas. Eles também examinaram o registro detalhado para o site de hacking, xcazanova [.] Com, para descobrir que Samir Djelal adquiriu o site em 27 de fevereiro de 2018 e incluiu um endereço de e-mail legítimo, número de telefone, detalhes sobre cinco outros domínios da web e um endereço físico endereço em Argel, Argélia.
“Conforme observado por pesquisadores de segurança cibernética que averiguaram a identidade real de Cazanova, as práticas ruins [de segurança operacional] de Djelal e seu desejo de se comercializar (presumivelmente para aumentar sua reputação e sucesso financeiro) foram posteriormente validados por dois vazamentos adicionais que Cal-CSIC descobriu”, a lei boletim de aplicação disse.
Cal-CSIC descobriu um vídeo do YouTube, datado de 2016, no qual “Cazanova Haxor” demonstrou maneiras de enganar os usuários do PayPal usando Adobe Photoshop. Uma mensagem na parte inferior do vídeo diz “Criado por Djelal Samir” perto da parte inferior do canto direito da tela. Enquanto isso, um projeto no repositório de software SourceForge, onde Cazanova parece ter compilado ferramentas de hacking, inclui outra imagem dizendo “IHacked By CazaNoVa163 (Djelal Samir).”
Cal-CSIC não respondeu imediatamente a um pedido de comentário da CyberScoop.
Fonte: https://www.cyberscoop.com/covid-19-phishing-attacks-blueleak-cazanova-haxor/