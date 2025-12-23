Полиция Нигерии сообщила об аресте трех человек, причастных к работе фишинговой платформы Raccoon0365, которая использовалась для атак на учетные записи Microsoft 365. Аресты были произведены благодаря данным, полученным от компании Microsoft, которые были переданы ФБР специалистам Национального центра по борьбе с киберпреступностью в полиции Нигерии (NPF-NCCC).

Осенью текущего года компании Microsoft и Cloudflare объявили о закрытии PhaaS-сервиса (Phishing-as-a-Service, «Фишинг как услуга») под названием Raccoon0365, который использовался для кражи тысяч учетных данных от Microsoft 365.

Raccoon0365 позволял пользователям создавать фишинговые электронные письма, вложения со ссылками или QR-кодом, а также фишинговые сайты, ориентированные на кражу учетных данных от Microsoft 365. Украденные учетные данные, файлы cookie и другая собранная информация из OneDrive, SharePoint и почтовых ящиков жертв потом использовалась для финансового мошенничества, вымогательства или служила точкой проникновения в другие системы.

В начале сентября 2025 года специалисты Microsoft Digital Crimes Unit (DCU) совместно с коллегами из команд Cloudforce One и Trust and Safety в Cloudflare изъяли 338 сайтов и Worker-аккаунтов, связанных с Raccoon0365.

Компания Cloudflare оказалась вовлечена в эту операцию, поскольку злоумышленники использовали ее сервисы в своих целях (в том числе для антианализа и уклонения от обнаружения).

Фишинг-киты Raccoon0365 распространялись по подписке, через приватный Telegram-канал, насчитывавший более 840 участников по состоянию на 25 августа 2025 года. Цены варьировались от 355 долларов за месяц подписки до 999 долларов за три месяца. Оплату злоумышленники принимали в USDT и BTC.

По оценкам Microsoft, стоящая за PhaaS-сервисом группировка заработала на Raccoon0365 не менее 100 000 долларов в криптовалюте (то есть продала не менее 100-200 подписок), хотя реальное число могло быть выше.

Осенью отмечалось, что, по информации исследователей DCU, лидером Raccoon0365 является нигериец Джошуа Огундипе (Joshua Ogundipe).

«По данным Microsoft, Огундипе имеет опыт работы в области программирования, и именно он ответственен за написание большей части кода. Ошибка в операционной безопасности злоумышленников (они случайно раскрыли секретный криптокошелек) помогла DCU установить их личности и понять механизмы работы. Все собранные материалы на Огундипе переданы международным правоохранительным органам», — писали эксперты.

Теперь полиция Нигерии сообщила об арестах разработчиков фишинговой платформы.

«Действуя на основе точных и достоверных разведданных, оперативники NPF-NCCC провели операции в штатах Лагос и Эдо, что привело к аресту трех подозреваемых, — говорится в заявлении полиции. — В ходе обысков в их домах были изъяты ноутбуки, мобильные устройства и другое цифровое оборудование, которое после криминалистического анализа было связано с мошеннической схемой».

Отмечается, что среди арестованных был Окитипи Сэмюэл (Okitipi Samuel), более известный в сети под никами Raccoon0365 и Moses Felix. Правоохранительные органы считают его разработчиком Raccoon0365. Также он якобы управлял Telegram-каналом, где продавались фишинг-киты. На момент закрытия у канала насчитывалось более 800 участников.

Что касается двух других задержанных, полиция заявила, что пока не имеет доказательств причастности этих людей к созданию или эксплуатации Raccoon0365. Примечательно, что правоохранители вообще не упоминают Джошуа Огундипе, которого Microsoft называла главой фишингового сервиса.