• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья По горячим следам: в попытках раскрыть мошенническую схему - Discord, ботнет да стиллеры

По горячим следам: в попытках раскрыть мошенническую схему - Discord, боты и стиллеры

Честно, я не знаю получит ли этот материал возможность быть опубликованным, ибо это лишь записки расследования мошеннической схемы, на которую автор сей писульки и попался. Да-да, все мы можем быть порой невнимательными. Это не будет сюжетный материал или что-то этого рода, мне просто нужно не потеряться в собственных мыслях и не зайти в тупик. Поехали.

Для начала мы имеем такую картину. Доверенный вам человек просто присылает сообщение, мол что-то там произошло и готов дарить скины в CS. На первый взгляд сразу понятно ,что это мошенничество, но явно не всем. С самим фишинговым текстом вы можете ознакомиться где-то на скрине в тексте выше или ниже.

Screenshot_12.png

Статус “недоверенный” действительно лишает игрока возможности полноценно наслаждаться игрой да и вовсе играть на ранг. Для некоторых это и вправду становится причиной ухода из данной игрульки. Ухода, но не раздачи всего нажитого, да?

Сразу можно отметить, что на первый взгляд кажется все очень нелогичным, ведь зачем дарить вещи, имеющие цену от 5.000 рублей? Но это компенсируется тем, что текст пропитан эмоциями и вводит читающего в явное заблуждение, заставляя думать, что вот она - халява, на дурачке нажиться смогу.

Ведь всё преподносится, будто раздающий - на пике переживаний, а у жертвы это заставляет включить режим охотника, который слепо бежит в сеть, становясь добычей сам. Дальше мошенник отмечает, мол ножи не трогайте, и это важно, сразу добавляет реалистичности, ведь цены тех, которые были в инвентаре варьируются от 50.000, что сразу обесценивает в ваших глазах то, что парень отдает. И фирменная пометка “Если не успел, не обижайся”, которая прямо таки бьет по мозгу халявщиков, заставляя быстрее сделать то, что вас просят.

Вся схема продвигается через Дискорд, при том с множества аккаунтов, иногда даже по несколько раз с одного и того же спустя определенное время. Установив контакт ещё с несколькими жертвами, мне удалось проанализировать их почты и я очень удивился.

Если схема со Стимом базировалась на фишинге, то как злоумышленник получил доступ к ДС, для меня остается загадкой, это и предстоит нам выяснить кстати. На почте нет даже сообщения о подтверждении входа с незнакомого айпи. Нет запроса на смену пароля или что-то в этом роде... Странно.

Изначально у меня сложилось ощущение, что рассылка происходит посредством API и никто не получает пароля или сессию, а просто использует аккаунт, как бота. Эту версию мы проверим чуточку позже.

Итак. История начинается с того, что позвала меня моя девушка в CS, притом даже 1.6, захожу такой в Стим, а оно не заходит. Сначала я не понял в чем прикол, пароли я всегда забываю, поэтому пошел восстанавливать, спустя минут 10 обнаружил, что аккаунта привязанного к моей почте уже нет. Я просмотрел сообщения от Стима и заметил прекрасную картину входа с незнакомого IP, подтверждения попытки входа, на тот момент мне даже в голову не пришло, что случай с переходом по ссылке с ДС на инвентарь CS:GO и это могут быть связаны. Точнее я просто забыл, что куда-то заходил.

Первое суждение всегда ошибочно? Получается. Подумав, что скорее всего взломали мою почту, а такое может быть, хотя пароли обычно сложные везде стояли (именно поэтому забываю, хе-хе). Убежал я проверять историю входов, очевидно, что ничего подозрительного не заметил и не нашел.

И тут меня озарило, сопоставив даты писем о незнакомом айпи и одного сообщения на сервере Дискорда, я очень гневно высказался о их авторе. Связавшись со знакомыми, узнал ВК спамера и там написал целую петицию. Ожидая ответа, запустил Кали и с помощью nmap’а проверил засвеченный IP. Как и ожидалось - прокси, ничего особого. Размещены они в Москве, откуда было произведено подключение, через Мальтего удалось установить компанию, которая имеет в собственности эти сервера. Также корпоративный и личный емейл владельца. Некоторую документацию, несколько исков против данной организации и кучу всякого хлама, который никак не поможет. Писать владельцу, дабы тот выдал историю подключений - бред, всё таки это конфиденциальная информация, которую получить могут лишь государственные органы да и то только через суд. Поправьте, если ошибаюсь.

Очень жаль, что я упустил возможность проанализировать столь качественный фейк, ведь на то время он был уже удален. Стоит заметить, что человек явно понимает как лучше замаскировать ссылку и меняет лишь в двух основных случаях:
  • на повторении, примером будет mm - mn. steamcommunity - steamcomnunity.
  • и в словах, который обычный русский не читает или просто не знает как правильно они пишутся. steamcommunity - steamcommuntiy.

Механизм работы схемы прост, сравним с принципом работы навесной двери. Правда я, как человек, который никогда не играл в CS:GO имею очень малый процент познания принципа работы торговой площадки, но понимаю, что для подтверждения трейда нужно ввести специальный код в всплывающее окно, этот шифр приходит на емейл. Но прежде нужно авторизоваться ведь, поэтому жертва доверчиво вводит свой пароль, не видя подмены, столь все реалистично. А уже путем замены в коде исходной ссылки, Стим Гуард заставляем прислать новый код, доверчиво введя его в окно - фактически подтверждаем попытку входа злоумышленника. Интересно? Интересно. Банально - очень даже.

Фейк страницу с красивым доменным именем можно нынче создать и создать недорого, это не 2012, когда приходилось искать бесплатный хостинг, ибо денег родители не давали, да? Раньше большинство фейков имели странные долгие ссылки, типа: steamcommunity.up.time.ua.ru.bigmir.com, сейчас же имеем “https://steamconmmuinty.com/tradaffer/new/?partner=2109629920&token=YEsp1sqlP” . Намного красивей и более похоже на оригинал. Сделать фейк очень просто нынче, или использовать готовый с таких репозиториев, как SocialFish, или сделать самому с помощью wget на Линуксе. После чуть-чуть подправить и вуаля.

Итак. Всё ближе и ближе подходим к дискорду: как, что делать и почему .
Для начала давайте загуглим часть фишинг-текста и посмотрим встречался ли он где-то ещё. В результате получаем несколько десятков ответов: люди жалуются на мэйл.ру, что с их аккаунтов в ДС флудят таким текстом, заметьте - именно в дискорде. Несколько десятков людей отозвались с похожей проблемой. Дальше произошло то, что заставило меня действительно задуматься над тем, что рассылает это не человек, а какой-то скрипт.

В поиске находим чатлог с ДС, с иностранного сервера, люди там общаются на немецком, но сообщения о раздаче на русском. Или вот вариант, где англичане предполагают, что это спамбот:

“22:50 <rld> <@xaldbar> Я в тильте, в кс дали статус "Ненадежный", за ахк, мм играть не могу и пофиг), просто раздам скины. Можешь взять 1-2 скина (кроме ножей), обмены подтверждаю все, на всех не хватит, так что если не успел, не обижайся..
22:50 <rld> @everyone
22:50 <rld> <@riker> nice
22:50 <Umbire> Alright, this was funny the first time.
22:51 <rld> <@Shadow_Rider> what was it?
22:51 <rld> <@riker> spambot”.

И я разделяю их мнение. Так вот, давайте-ка попытаемся что-то такое воссоздать. Для начала я поинтересовался, есть ли возможность своровать API ключ или токен. Первый вариант сразу отпал, потому что функции и возможности бота слабо походят на то, что мы видели. А вот токен-стиллер имеет место быть, не представите себе - их туча.

Самым удобным и простым оказался какой-то ПриватСтиллер, он имеет свой билдер на C, советую не использовать, могут иметься самые разные вредоносы. Сам использую лишь для расследования и этой писульки. Для начала нам понадобиться создать свой сервер в ДС, после кликнуть правой клавишей мыши по нему. Выбрав “Настройки сервера”, переходим в “Интеграция” , после “Вебхуки” и создаем новый хук. Можно добавить аватар, но это не обязательно.

Screenshot_8.png

Следом шагаем в билдер, запускаем тот и вставляем ссылку на вебхук. У нас генерируется приложение-стиллер, которое при открытии разголинивает вас с Дискорда и открывает как-бы авторизацию. Введя пароль, жертва ничего не заметит, ибо её просто перенаправит в рабочее приложение. А у нас на сервере бот пришлет нам все данные, включая токен, пароль, логин, айпи и всё-всё. Кстати эта штука не палится никаким антивирусом, на данный момент вирустотал не показывает ничего.

Screenshot_10.png

Итак, на этом этапе у нас есть всё для того, чтобы просто поставить какого-то спамбота и он делал своё дело. Использовать будем Кали и какой-то первый попавшийся скриптик с гитхаба. Установим его:
Код:
git clone https://github.com/Merubokkusu/discord-spam-bots.git
cd discord-spam_bots
ls
pip3 install -r requirements.txt

Теперь давайте перейдем в папку со скриптом и подравим блокнотом файл конфигурации config.py. Этот бот флудит только в те каналы, айди которых указаны в конфиге, видимо злоумышленник использовал более продвинутую версию. Разобраться в настройках не тяжело, вписываем токен, логин и пароль. Есть возможность добавлять несколько аккаунтов.

Также имеется джойнер по приглашениям, спамер картинками(только путь указать верный осталось) и всё прочее.
Давайте запустим и посмотрим работает ли:
Код:
python3 start.py

Затем нам предложит выбрать какой тип спама нам нужен, вводим своё сообщение и кликаем энтер. Здесь столкнулся с ошибкой отсутствия модуля “discum” , даже не смотря на то, что он есть и ручная установка ничего не дала:
Код:
pip3 install discum

После перезагрузки всё магическим образом начало работать, почему так - не охота знать. Спамит оно не единожды, а с определенным интервалом. Но это уже не суть.

Screenshot_2021-08-02_15_15_00.png

Ну вот мы и разобрались как всё это работает, примерно таким путем скорее всего наш вредитель следовал. Обнаружить его мне не удалось, парень чертовски неплохо провернул сие дельце и я уже думал заканчивать это разбирательство, которые перешло в статью. Но для прикола решил помониторить самый популярный в СНГ рынок аккаунтов с пометкой CS 1.6. Не представляете моё удивление, когда я нашел вот это:

Screenshot_11.png

Естественно выкупать своё же имущество я не собирался, и так было ясно, что поддержка Стим мне вернёт всё, но я не устоял от соблазна чуть-чуть порезвиться и узнать чуточку больше о этом персонаже, поэтому я ему написал под предлогом предлогом покупки.

Его почтовый адрес я не мог узнать раньше, ибо Стим его тщательно скрывает, но после того, как он скинул авторизационные данные на Фанпей - почту мы получили. Если кому-то известна ваша почта, то с вероятностью 50% они знают ваш реальный IP. Сначала мне хотелось поискать достойный скрипт, но после наткнулся на достаточно неплохого бота, который специализируется на сборе общедоступных данных - Глаз Бога. Данный ресурс всячески ущемляют на данном этапе его существования, но это не мешает ему быть эффективным в некоторых случаях. Путем нехитрых манипуляций нам удалось получить карту передвижений данного персонажа, за что благодарим Яндекс. И ведь всё это есть в открытом доступе. Хотя я сомневаюсь, что это его емейл, если это очередной ворованный экземпляр, то у меня нет ни единой зацепки кроме как схемы его действий.

Но мне оказалось этого мало и появилась идея создать проект в Мальтего и поискать все, что связанно с этим адресом в сети. Ничего особого обнаружить не удалось, но всё же ВПН не спас. Парнишка оказался с Украины. Ему я хочу выразить респект, ибо сделано было всё на прекраснейшем уровне, вплоть к моменту продажи. Но , повторюсь, если этот аккаунт тоже не его - то я вышел на его очередную жертву и этот инкогнито таки ускользнул. Я склонен верить этому варианту, ибо слишком было бы глупо оставлять свой реальный адрес, особенно, если смотреть насколько глобальны были его манипуляции. От этого пострадали сотни, а может даже тысячи человек и персона, которая воротит такие дела не должна палиться так. Выразите своё мнение, пожалуйста.

Итоги расследования, а может и выводы

Ну вот как-то так, я считаю, что выводы здесь быть обязаны. Делать с парнишкой, чей емейл и местоположение удалось узнать - я ничего не стану, так как нет уверенности, что это именно он. Аккаунт был восстановлен через поддержку. Я не планировал писать данный материал, вышло абсолютно спонтанно, но, может быть, сегодня мы раскрыли с вами набирающую популярность схему мошенничества. Надеюсь, что после выхода писульки этой поменьшает количество случаев успеха. Защита от этого проста: уметь думать головой и всегда помнить о том, что все хотят о вас только лишь наживы, анонимность - залог безопасности. Сыр лишь в мышеловке бывает бесплатным, да и то не всегда, нынче даже за него придется платить.

Также некоторые сервера начали устанавливать плагины, которые блокируют рассылку рода подобного. Одним из них делюсь - . Как установить его - понятия не имею, коль никогда не разбирался в функциях ДС. Ну, а на этом у меня всё. Будьте бдительны, надеюсь, что вам никогда не придется попасть в сети злоумышленников вроде этого.

А ой, чуть не забыл. Как защититься от стиллера, может быть, спросили бы вы. А я вам отвечу: желательно проверять все файлы, которые вам кидают и говорят, что это для дискорда. Также стоит учесть, что злодей может быть ленивым и даже не изменит данные в Свойствах, поэтому советую смотреть. Самый распространенный метод его распространения - склейка с оригинальным дискордом с пометкой, что это какой-то мод или фиксит какую-то проблему. На одном из крупных порталов до сих пор висит статья о исправлении какой-то ошибки в ДС, где предлагают скачать модифицированный .exe, который как раз и содержит этот стиллер. Я бы просто посоветовал проанализировать свой трафик, на наличие нагрузки от какого-то вредоносного ПО, ну и переустановить само приложение Дискорда.

(v44444v - я)
Screenshot_13.png

Теперь уже точно все. Расследование может быть продолжено, в зависимости от вашей активности, просто понятия не имею зайдёт ли такой формат. А так-то мне самому интересно раскрыть данное преступление. Ощущаю себя детективом что-ли, ЛА Нуар? Даниил - лишь пешка и очередная жертва. Когда я предпринимал попытки вернуть себе свой аккаунт, то имейл отражался, путь и зацензуренный, с началом на буковку “A” и с окончанием mail.ru. Стим, пожалуйста, сделайте возможность просматривать действия смены или сброса без цензуры. А Дискорд, просим всем селом, простую таблицу сессий аккаунта. Скорее всего этот гений столкнул первому рандому ворованное, когда увидел попытки восстановить доступ, а этим примо случайным оказался Даня с Украины, кстати, ему я позвонил и это прям очень мелкий парнишка, явно не его состава ума дело. Хорош злодейка наш однако. Если ты это читаешь, то палец вверх тебе. Бывайте.
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!