Il gruppo di cybercriminali pakistani ‘The Manipulaters’ ha migliorato i propri prodotti e servizi ma mostra ancora gravi carenze nella protezione delle proprie attività illegali.
Nove anni fa, veniva presentato ‘The Manipulaters’, un grupo di cyber-criminalità con sede in Pakistan, noto per la sua ampia rete di piattaforme di hosting web per il phishing e la distribuzione di spam. A gennaio 2024, questo gruppo ha chiesto la rimozione di precedenti articoli incentrati sulle loro attività, affermando di aver preso un altro percorso e di aver avviato un’attività legale. Tuttavia, nuove analisi indicano che, nonostante siano notevolmente migliorate la qualità dei loro prodotti e servizi, questi cybercriminali dimostrano ancora enormi lacune nel nascondere le loro attività illegali.
Nel maggio 2015, viene pubblicato un articolo su ‘The Manipulaters’, un’affascinante squadra di cyber-criminali che gestisce apertamente centinaia di siti web che vendono strumenti progettati per ingannare gli utenti a rivelare nomi utente e password, o per diffondere software dannoso sui loro PC.
Il brand principale di ‘The Manipulaters’ è da tempo un identità condivisa denominata “Saim Raza”, che negli ultimi dieci anni ha promosso un celebre servizio di spamming e phishing conosciuto come “Fudtools”, “Fudpage”, “Fudsender”, “FudCo” e così via. Il termine “FUD” in questi nomi sta per “completamente indetectableIl gruppo di cybercriminalità ‘The Manipulaters’ ha migliorato i propri prodotti e servizi per il phishing, ma mostra ancora gravi carenze nel nascondere le proprie attività illegali.
Nel maggio 2015, è stato descritto ‘The Manipulaters’, un audace team di cybercriminalità che gestiva apertamente centinaia di siti web dedicati alla vendita di strumenti progettati per sottrarre nomi utente e password, o per diffondere software malevolo sui PC degli utenti.
Il brand principale di ‘The Manipulaters’ è da lungo tempo un’identità condivisa da cybercriminali, nota come “Saim Raza”. Per oltre un decennio, Raza ha commercializzato un popolare servizio di spamming e phishing conosciuto con vari nomi, tra cui “Fudtools”, “Fudpage”, “Fudsender”, “FudCo”, ecc. Il termine “FUD” in questi nomi sta per “Completamente Indetectable” e si riferisce a risorse per la cybercriminalità progettate per eludere software di sicurezza come antivirus o appliance antispam.
Nonostante le richieste del gruppo di rimuovere precedenti articoli che li riguardavano, affermando di aver abbandonato il mondo della criminalità per intraprendere attività legittime, nuovi rapporti suggeriscono che il gruppo continua ad essere attivo nel mondo della cybercriminalità. Una recente ricerca ha infatti rivelato che diversi computer associati a ‘The Manipulaters’ sono stati pesantemente infettati da malware progettati per rubare dati e password.
I ricercatori di DomainTools.com hanno scoperto che le infezioni da malware sui PC dei ‘Manipulaters’ hanno esposto enormi quantità di dati account, delineando l’organizzazione del gruppo e la sua posizione nell’economia sotterranea. Curiosamente, un grannumero dei clienti identificati dei ‘Manipulaters’ risultano essere vittime del medesimo malware, facendo sorgere interrogativi sulla sua origine.
Il prodotto principale dei ‘Manipulaters’ attualmente è un servizio di consegna di spam chiamato ‘HeartSender’, il cui sito web pubblicizza apertamente kit di phishing mirati agli utenti di varie società internet, tra cui Microsoft 365, Yahoo, AOL, Intuit, iCloud, ID.me, tra gli altri.
Tuttavia, i ricercatori di DomainTools.com hanno scoperto che la versione ospitata del servizio HeartSender rivela una quantità straordinaria di dati utente che probabilmente non dovrebbero essere accessibili al pubblico. A quanto pare, l’interfaccia web di HeartSender ha diverse pagine web accessibili agli utenti non autenticati, esponendo qualsiasi richiesta di supporto ai suoi sviluppatori insieme alle credenziali degli utenti.
‘The Manipulaters’ rappresentano paradossalmente un rischio maggiore a breve termine per i propri clienti rispetto alle forze dell’ordine stesse. I dati esposti mettono a nudo ciò che sembrano essere token di autenticazione dei clienti, identificatori utente e persino una richiesta di supporto al cliente che espone le credenziali SMTP a livello di root, tutte visibili da un utente non autenticato su un dominio di proprietà dei ‘Manipulaters’. Considerando il rischio di abuso, questo dominio non verrà pubblicato.