Правоохранительные органы США и Нидерландов конфисковали 39 доменов и связанные с ними серверы, используемые пакистанской фишинговой группировкой HeartSender.
HeartSender (также известная под именами Saim Raza и Manipulators Team) более десяти лет управляла хакерскими маркетплейсами. Власти утверждают, что группа продавала «международным организованным преступным группам» инструменты для хакинга и мошенничества, в том числе фишинговые наборы, малварь и услуги по рассылке спама.
Хотя активность группировки снизилась, когда известный ИБ-журналист Брайан Кребс разоблачил ее деятельность, группа использовала множество брендированных магазинов (рекламируемых на YouTube) на разных доменах, чтобы снизить риски захвата инфраструктуры и сдержать конкуренцию.
Голландская полиция начала расследование деятельности хакеров еще в конце 2022 года. Позже к операции, получившей название Heart Blocker, присоединились американские правоохранительные органы.
Согласно пресс-релизу Министерства юстиции США, только американские граждане понесли убытки в размере более 3 млн долларов, а датасеты HeartSender содержали информацию, похищенную у миллионов людей со всего мира.
«Сайты Saim Raza функционировали как торговые площадки, на которых рекламировались и продавались такие инструменты, как наборы для фишинга, мошеннические страницы и экстракторы электронной почты, которые часто использовались для создания и поддержания мошеннических операций. Saim Raza не только сделала такие инструменты широкодоступными в открытом интернете, но и обучала конечных пользователей тому, как использовать их против жертв. Группа размещала ссылки на обучающие видеоролики на YouTube, рассказывая о том, как выполнять схемы с использованием этих вредоносных программ, что сделало их доступными для преступников, которые не обладали подобным техническим и криминальным опытом. Группа также рекламировала свои инструменты как “полностью необнаружимые” для антиспамерского ПО», — рассказывают в Минюсте.
По данным следствия, в основном киберпреступники использовали инструменты HeartSender для повышения эффективности и облегчения проведения BEC-атак (от англ. business email compromise – компрометация деловой почты). Кроме того, инструменты применялись для получения учетных данных пользователей и затем задействовались в мошеннических схемах.
Власти США и Нидерландов не сообщают, привела ли операция Heart Blocker к каким-либо обвинениям или арестам.
Голландская полиция опубликовала специальный инструмент, с помощью которого можно поискать свои данные в датасетах, изъятых у HeartSender.