Microsoft thu giữ các miền dùng để bán tài khoản Outlook lừa đảo

Storm-1152 cung cấp dịch vụ tội phạm mạng lớn và cung cấp tài khoản Outlook gian lận số một, cũng như các “sản phẩm” bất hợp pháp khác, bao gồm dịch vụ giải CAPTCHA tự động để vượt qua các thử thách CAPTCHA của Microsoft và đăng ký thêm nhiều tài khoản email Microsoft lừa đảo.

“Storm-1152 thực hiện các trang web và trang truyền thông xã hội bất hợp pháp, bán các tài khoản và công cụ lừa đảo của Microsoft để vượt qua phần mềm xác minh danh tính trên các nền tảng công nghệ nổi tiếng. Các dịch vụ này giúp bọn tội phạm giảm thời gian và công sức cần thiết để thực hiện một loạt hành vi tội phạm và lạm dụng trực tuyến “, theo thông tin chia sẻ của Amy Hogan-Burney, Tổng Giám đốc Đơn vị Tội phạm Kỹ thuật số của Microsoft.

“Ít nhất là từ năm 2021, nhóm này đã tham gia vào một kế hoạch nhằm lấy hàng triệu tài khoản email Microsoft Outlook dưới danh nghĩa của những người dùng hư cấu dựa trên một loạt tuyên bố sai sự thật, và sau đó bán những tài khoản lừa đảo này cho những kẻ độc hại để sử dụng vào nhiều loại tội phạm mạng khác nhau”, theo đơn khiếu nại.

Theo Microsoft Threat Intelligence, nhiều nhóm mạng liên quan đến ransomware, đánh cắp dữ liệu và tống tiền đã mua và sử dụng tài khoản do Storm-1152 cung cấp trong các cuộc tấn công của chúng.

Ví dụ: các băng nhóm tội phạm mạng Storm-0252, Storm-0455 và Octo Tempest (hay còn gọi là Scattered Spider) có động cơ tài chính đã sử dụng tài khoản lừa đảo Storm-1152 để xâm nhập vào các tổ chức trên toàn thế giới và triển khai phần mềm ransomware trên mạng của họ.

Sự gián đoạn dịch vụ dẫn đến thiệt hại được Microsoft ước tính lên tới hàng trăm triệu đô la.

“Dựa trên thông tin và sự tin tưởng, bằng chứng thu thập được từ cuộc điều tra của Microsoft trong trường hợp này cho thấy các tài khoản email của Microsoft—do Bị đơn lấy được một cách gian lận và bán cho tội phạm mạng—đã được sử dụng bởi các nhóm tội phạm mạng có tổ chức được biết đến với tên gọi Storm-0252, Storm- 0455 và Octo Tempest để tham gia vào hoạt động tội phạm mạng, bao gồm lừa đảo qua email, thường được sử dụng làm phương tiện để phát tán ransomware và phần mềm độc hại khác,” đơn khiếu nại cho biết thêm.



​Vào ngày 7 tháng 12, Microsoft đã tịch thu cơ sở hạ tầng của Storm-1152 có trụ sở tại Hoa Kỳ và gỡ bỏ các trang web sau sau khi nhận được lệnh của tòa án từ Quận Nam New York:

• Hotmailbox.me, trang web bán tài khoản Microsoft Outlook lừa đảo
• 1stCAPTCHA, AnyCAPTCHA và NoneCAPTCHA, các trang web hỗ trợ công cụ, cơ sở hạ tầng và bán dịch vụ giải CAPTCHA nhằm bỏ qua xác nhận sử dụng và thiết lập tài khoản của người thực. Các trang web này đã bán công cụ bỏ qua xác minh danh tính cho các nền tảng công nghệ khác.
• Các trang truyền thông xã hội
  được sử dụng tích cực để tiếp thị các dịch vụ này

Công ty cũng kiện Dương Đình Tú, Linh Vân Nguyên (Nguyễn Văn Linh) và Tài Văn Nguyên vì họ có mục đích tham gia tổ chức hoạt động tội phạm mạng trên các miền bị tịch thu.

Như cáo buộc sâu hơn trong đơn khiếu nại, các bị cáo đã quản lý và phát triển mã cho các trang web bị tịch thu. Họ cũng tham gia xuất bản các video hướng dẫn về cách sử dụng tài khoản Outlook lừa đảo và cung cấp hỗ trợ trò chuyện cho ‘khách hàng’ sử dụng các dịch vụ gian lận của họ.

“Hành động thực hiện hôm nay để tiếp nối chiến lược của Microsoft nhằm nhắm vào hệ sinh thái tội phạm mạng rộng lớn hơn và nhắm mục tiêu vào các công cụ mà tội phạm mạng sử dụng để khởi động các cuộc tấn công của chúng. Nó được xây dựng dựa trên việc chúng tôi mở rộng một phương pháp pháp lý được sử dụng thành công để phá vỡ phần mềm độc hại và các hoạt động của quốc gia”, Hogan -Burney nói.

Nguồn: bleepingcomputer.com