Karma rattrape le service mondial de phishing 16Shop

Jun 27, 2023

Vous n'avez probablement jamais entendu parler de "16Boutique», mais il y a de fortes chances que quelqu'un qui l'utilise ait tenté de vous hameçonner.

Une page de phishing 16Shop usurpant Apple et ciblant les utilisateurs japonais. Image : Akamai.com.

L'organisation policière internationaleINTERPOL a déclaré la semaine dernière qu'il avait fermé le célèbre 16Shop, une plate-forme de phishing en tant que service populaire lancée en 2017 qui permettait même aux novices complets de mener des escroqueries de phishing complexes et convaincantes. INTERPOL a déclaré que les autorités indonésiennes ont arrêté le propriétaire de 21 ans et l'un de ses facilitateurs présumés, et qu'un troisième suspect a été appréhendé au Japon.

Le communiqué d'INTERPOL indique que la plateforme a vendu des outils de piratage pour compromettre plus de 70 000 utilisateurs dans 43 pays. Compte tenu de la durée d’existence de 16Shop et du nombre de clients payants dont il a bénéficié au fil des ans, ce chiffre est presque certainement très conservateur.

De plus, la vente d'« outils de piratage » ne reflète pas vraiment l'essence même de 16Shop : il s'agissait d'une plate-forme de phishing entièrement automatisée qui offrait à ses milliers de clients une série de kits de phishing spécifiques à une marque et leur fournissait les noms de domaine nécessaires. pour héberger les pages de phishing et recevoir les informations d'identification volées.

Les experts en sécurité enquêtant sur 16Shop ont découvert que le service utilisait une interface de programmation d'application (API) pour gérer ses utilisateurs, une innovation qui permettait à ses propriétaires de fermer l'accès aux clients qui n'avaient pas payé leurs frais mensuels ou à ceux qui tentaient de copier ou de pirater le phishing. trousse.

16Shop a également localisé les pages de phishing dans plusieurs langues, et le service afficherait un contenu de phishing pertinent en fonction de la géolocalisation de la victime.

Divers leurres 16Shop pour les utilisateurs Apple dans différentes langues. Image : Akamai.

Par exemple, en 2019McAfeea constaté que pour les cibles au Japon, le kit 16Shop collecterait également l'identifiant Web et le mot de passe de la carte, tandis que les victimes américaines se verraient demander leur numéro de sécurité sociale.

"En fonction de l'emplacement, 16Shop collectera également les numéros d'identification (y compris les numéros d'identité civile, nationale et citoyenne), les numéros de passeport, les numéros d'assurance sociale, les codes de tri et les limites de crédit", a écrit McAfee.

En outre, 16Shop a utilisé diverses astuces pour aider les pages de phishing de ses utilisateurs à rester hors du radar des sociétés de sécurité, notamment une « liste noire » locale d'adresses Internet liées aux sociétés de sécurité et une fonctionnalité qui permettait aux utilisateurs de bloquer l'accès à des plages d'adresses Internet entières. pages de phishing.

Le communiqué d'INTERPOL ne nomme aucun des suspects arrêtés dans le cadre de l'enquête 16Shop. Cependant, un certain nombre d'entreprises de sécurité, dont Akamai, McAfee et ZeroFox, avaient auparavant connecté le service à un jeune Indonésien nomméRiswanda Noor Saputra, qui a vendu 16Shop sous le pseudo de hacker »Cri du diable.»

Selon le blog de sécurité indonésienCybermenace.id, Saputra a admis être l'administrateur de 16Shop, mais a déclaré à la publication qu'il avait confié le projet à d'autres début 2020.

Documentation 16Shop expliquant aux opérateurs comment déployer le kit. Image : ZeroFox.

Néanmoins, Cyberthreat a rapporté que Devilscream avait été arrêté par la police indonésienne fin 2021 dans le cadre d'une collaboration entre INTERPOL et leBureau fédéral d'enquête des États-Unis (FBI). Pourtant, les chercheurs qui ont suivi 16Shop depuis sa création affirment que Devilscream n'était pas le propriétaire initial de la plateforme de phishing, et qu'il n'est peut-être pas le dernier.

Il n’est pas rare que des cybercriminels infectent accidentellement leurs propres machines avec des logiciels malveillants voleurs de mots de passe, et c’est exactement ce qui semble s’être produit avec l’un des administrateurs les plus récents de 16Shop.

Constella Intelligence, une plateforme de recherche sur les violations de données et les acteurs menaçants, permet désormais aux utilisateurs de croiser les sites Web de cybercriminalité populaires et les habitants de ces forums avec des infections accidentelles de logiciels malveillants par des chevaux de Troie voleurs d'informations. Une recherche dans Constella sur le nom de domaine de 16Shop montre qu'à la mi-2022, un administrateur clé du service de phishing a infecté son ordinateur de bureau Microsoft Windows avec le cheval de Troie voleur d'informations Redline – apparemment en téléchargeant une copie crackée (et secrètement détournée) d'Adobe Photoshop.