Кардинг или кража и последующая продажа информации о кредитных и других платежных картах пользователям долгое время были проблемой. А с легкостью получения хостов для форумов и сообществ кардеров и сокрытия их следов в Интернете угроза стала еще больше.
Исследователь угроз WhoisXML API Данчо Данчев недавно вышел в Интернет, чтобы собрать информацию об известных форумах по кардингу и доменах сообщества. После этого исследовательская группа по расширенной безопасности WhoisXML API провела анализ расширения индикатора компрометации (IoC), чтобы выявить как можно больше других потенциальных векторов угроз. Упражнение привело к обнаружению:
Массовый поиск по WHOIS для этих веб-объектов показал, что они были распределены между 11 регистраторами (см. разбивку ниже), возглавляемыми NiceNIC International Group Co., Limited; R01-RU; и Eranet International Limited, которые управляли шестью доменами каждый.
Обратите внимание, что все почтовые сервисы провайдеров можно получить бесплатно. Кроме того, 27 адресов электронной почты были использованы для регистрации 14 254 других доменов, 12 из которых оказались хостами вредоносных программ. Примерами таких веб-свойств являются:
К счастью, на сегодняшний день доступно только одно из вредоносных веб-приложений.
Затем обратный поиск IP хостов привел к обнаружению 154 доменов (всего до пяти доменов на IP-адрес), которые могли быть связаны с угрозой, один из которых — ge[.]helltoheaven[.]me - был помечен как хост вредоносного ПО.
Более тщательное изучение IoC позволило нам выявить общие строки, такие как карточка + форум и карточка + сообщество. В качестве последнего шага к выявлению как можно большего числа других, пока не названных потенциальных векторов атак мы использовали эти строки в качестве поисковых запросов для обнаружения доменов и поддоменов. Это дало нам 1073 дополнительных домена, 12 из которых оказались вредоносными. Примерами подтвержденных вредоносных хостов являются:
Один из таких опасных сайтов оказался особенно похожим на IOCs—bestcardersforum[.]ru, поскольку доступ к нему приводил к странице входа, типичной для форумов по кардингу. Как и законные бизнес-сайты, киберпреступники известны тем, что ограничивают доступ к своим страницам для участников (коллег-мошенников и недобросовестных пользователей), чтобы избежать правоохранительных органов.
Основываясь на содержимом размещенной страницы, GoCVV Shop предлагает пользователям доступ к полной и действующей информации о кредитной карте — комбинациям номера кредитной карты и стоимости подтверждения карты (CVV) для платежных карт с доступными остатками.
Наш анализ расширения IoC привел к обнаружению почти 16 000 пока нераскрытых веб-свойств, включая 25 вредоносных доменов, доступ к которым может привести к загрузке вредоносного ПО.
Эти данные могут быть полезны сотрудникам правоохранительных органов и другим специалистам по кибербезопасности, которые, возможно, пожелают выявить больше потенциальных векторов угроз.
(c) https://circleid.com/posts/20230320-detecting-carder-friendly-forums-through-ioc-expansion
Исследователь угроз WhoisXML API Данчо Данчев недавно вышел в Интернет, чтобы собрать информацию об известных форумах по кардингу и доменах сообщества. После этого исследовательская группа по расширенной безопасности WhoisXML API провела анализ расширения индикатора компрометации (IoC), чтобы выявить как можно больше других потенциальных векторов угроз. Упражнение привело к обнаружению:
- 45 неотредактированных адресов электронной почты владельцев регистраций из исторических записей WHOIS IoC
- 14 254 домена, которые совместно использовали адреса электронной почты владельцев регистраций IoC, 12 из которых оказались вредоносными
- 60 IP-адресов, на которых размещались IOC
- 154 домена, которые совместно использовали IP-адреса хостов IoC, один из которых был признан вредоносным
- Среди IOC обнаружено 1073 домена, разделяющих строки commons, 12 из которых были помечены как вредоносные
Углубляясь в известные страницы кардинг форума
В качестве первого шага в нашем исследовании мы углубились в 29 доменов, на которых размещались кардинг форумы и сообщества, а именно:- cardingforum[.]cx
- crdforum[.]cc
- darkstash[.]com
- carders[.]biz
- crdpro[.]cc
- carders[.]mx
- carding-forum[.]com
- crdclub[.]su
- procrd[.]pw
- cardmafia[.]cc
- cardingforum[.]info
- cardingleaks[.]ws
- darkpro[.]net
- crackingforum[.]to
- cardingworld[.]ru
- darkwebmafias[.]ws
- leetforums[.]ru
- legitcarders[.]ws
- crdcrew[.]cc
- prtship[.]pro
- verifiedcarder[.]net
- legitcarder[.]ru
- carders[.]zone
- drdark[.]ru
- darknetweb[.]ru
- bpcforum[.]ru
- wc-club[.]com
- cybercarders[.]com
- bitorder[.]pw
Массовый поиск по WHOIS для этих веб-объектов показал, что они были распределены между 11 регистраторами (см. разбивку ниже), возглавляемыми NiceNIC International Group Co., Limited; R01-RU; и Eranet International Limited, которые управляли шестью доменами каждый.
Обнаружение подключений к WHOIS
Поисковые запросы по WHOIS для IOC позволили нам обнаружить 45 неотредактированных адресов электронной почты, использовавшихся для их регистрации. Эти адреса были распределены между 13 поставщиками услуг электронной почты, возглавляемыми gmail.com. Взгляните на приведенное ниже распределение поставщиков услуг.
Обратите внимание, что все почтовые сервисы провайдеров можно получить бесплатно. Кроме того, 27 адресов электронной почты были использованы для регистрации 14 254 других доменов, 12 из которых оказались хостами вредоносных программ. Примерами таких веб-свойств являются:
- novostroykivbatumi[.]com
- adtsda[.]org
- familytravelling[.]us
- al-anwar[.]us
- swordfishcentral[.]com
- phoneboosterapps[.]com
К счастью, на сегодняшний день доступно только одно из вредоносных веб-приложений.
Поиск DNS-ссылок
В качестве следующего шага мы обратились к DNS, чтобы выявить больше потенциальных векторов угроз. Поиск в DNS для 29 доменов предоставил нам 60 разрешений IP, распределенных по четырем странам во главе с США (см. Разбивку ниже).
Затем обратный поиск IP хостов привел к обнаружению 154 доменов (всего до пяти доменов на IP-адрес), которые могли быть связаны с угрозой, один из которых — ge[.]helltoheaven[.]me - был помечен как хост вредоносного ПО.
Более тщательное изучение IoC позволило нам выявить общие строки, такие как карточка + форум и карточка + сообщество. В качестве последнего шага к выявлению как можно большего числа других, пока не названных потенциальных векторов атак мы использовали эти строки в качестве поисковых запросов для обнаружения доменов и поддоменов. Это дало нам 1073 дополнительных домена, 12 из которых оказались вредоносными. Примерами подтвержденных вредоносных хостов являются:
- cardingforum[.]biz
- cardingforums[.]net
- carderforum2018[.]ru
- carderland-forum[.]ru
- shopcardingforum[.]ru
- bestcardersforum[.]ru
Один из таких опасных сайтов оказался особенно похожим на IOCs—bestcardersforum[.]ru, поскольку доступ к нему приводил к странице входа, типичной для форумов по кардингу. Как и законные бизнес-сайты, киберпреступники известны тем, что ограничивают доступ к своим страницам для участников (коллег-мошенников и недобросовестных пользователей), чтобы избежать правоохранительных органов.
Основываясь на содержимом размещенной страницы, GoCVV Shop предлагает пользователям доступ к полной и действующей информации о кредитной карте — комбинациям номера кредитной карты и стоимости подтверждения карты (CVV) для платежных карт с доступными остатками.
Наш анализ расширения IoC привел к обнаружению почти 16 000 пока нераскрытых веб-свойств, включая 25 вредоносных доменов, доступ к которым может привести к загрузке вредоносного ПО.
Эти данные могут быть полезны сотрудникам правоохранительных органов и другим специалистам по кибербезопасности, которые, возможно, пожелают выявить больше потенциальных векторов угроз.
(c) https://circleid.com/posts/20230320-detecting-carder-friendly-forums-through-ioc-expansion
Last edited by a moderator:
