俄罗斯语系的疯狂邪恶团伙操纵10余种社交媒体诈骗,诱骗受害者安装StealC、AMOS和Angel Drainer恶意软件。
自2021年以来,疯狂邪恶团伙已成为一个主要的网络犯罪集团,利用网络钓鱼、身份欺诈和恶意软件窃取加密货币。
团伙结构与作案手法
安全专家识别出疯狂邪恶团伙的六个子团队,分别名为AVLAND、TYPED、DELAND、ZOOMLAND、DEFI和KEVLAND,这些团队针对特定受害者群体实施定向诈骗。
该团伙的领导者是一位在Telegram上以“Abraham”@AbrahamCrazyEvil为名的威胁行为者。他们的武器库包括多种恶意软件,如针对Windows和macOS的Stealc和AMOS信息窃取软件。
Insikt Group的报告指出:“Insikt Group已发现超过十种活跃的诈骗活动,包括Voxium和Rocket Galaxy,利用定制化的诱饵欺骗受害者。疯狂邪恶团伙明确针对加密货币用户和影响者,使用定制的鱼叉式网络钓鱼诱饵。”
疯狂邪恶团伙被称为“流量团队”,这是一群社会工程专家,负责将合法流量重定向到恶意登录页面。
目标与收益
该团伙针对高价值受害者,也称为“猛犸象”,进行数字资产盗窃,包括加密货币、支付卡、在线银行账户和非同质化代币(NFT)。自2021年活跃以来,该团伙在其公开的Telegram频道CrazyEvilCorp上积累了超过3000名关注者。截至2024年12月2日,与疯狂邪恶相关的欺诈活动仍在进行中。
自2021年以来,疯狂邪恶团伙通过网络钓鱼诈骗已获利超过500万美元。受害者的损失从0.10美元到超过100,000美元不等,取决于运气和持久性。
招募与培训
疯狂邪恶团伙积极招募附属成员,宣传其网络犯罪网络,并设定特定技能要求。申请人必须精通操作完全不可检测(FUD)的信息窃取软件,适用于Windows和macOS,以及通过地址中毒等策略操纵硬件加密货币钱包。申请人必须能够针对Ledger和Trezor设备。此外,新成员应具备各种FUD漏洞利用的经验,尽管这些技术的细节尚不明确。
部署加密货币钱包排水器和设置网络钓鱼登录页面的专业知识也受到高度重视。为了适应经验不足的网络犯罪分子,疯狂邪恶团伙提供培训材料,并为新手分配经验丰富的导师(即“策展人”),指导他们参与团伙的非法操作。这种结构化方法展示了该团伙努力维持一个训练有素且高效的流量团队网络。
持续威胁与内部风险
该网络犯罪团伙专注于针对Web3和去中心化金融行业。该团伙在暗网论坛上保持强大存在,并与其他网络犯罪团伙和恶意软件开发者合作。这些因素使其成为持续的网络威胁。
然而,像许多网络犯罪集团一样,其最大的弱点是内部冲突。随着其规模和复杂性的增长,退出诈骗和分裂的风险也随之增加,这在过去的团体中已经出现过。
报告总结道:“像疯狂邪恶这样的威胁团体对识别和破坏具有弹性——其运营的最大威胁来自内部冲突。当像疯狂邪恶这样的威胁团体成员增加并扩大运营时,退出诈骗和分裂更可能成为其垮台的原因,正如Marko Polo和CryptoLove所见。”报告还包括了妥协指标(IoCs)。
