È stato scoperto un nuovo autore di minacce informatiche relativamente poco qualificato che sfrutta i servizi di un provider di hosting a prova di proiettile (BPH) per distribuire malware sotto le mentite spoglie di software legittimo.
L'hacker, noto con il soprannome "Coquettte", è stato scoperto dai ricercatori di DomainTools mentre indagavano su domini dannosi ospitati su Proton66.
Proton66 è un provider di hosting russo a prova di bomba, noto per favorire la criminalità informatica ignorando le denunce di abusi.
DomainTools ha condiviso le sue scoperte sull'attività di Coquettte in un rapporto pubblicato il 3 aprile 2025.
Tra le attività dei criminali informatici rientrano la distribuzione di malware e la vendita di manuali per la fabbricazione di sostanze e armi illegali.
La distribuzione del malware di Coquettte spiegata
I ricercatori di DomainTools hanno scoperto per la prima volta le attività di Coquettte attraverso il dominio cybersecureprotect[.]com, un falso sito di prodotti di sicurezza informatica ospitato su Proton66.
A prima vista, il sito web sembrava offrire il software antivirus 'CyberSecure Pro'. Tuttavia, il sito web in realtà distribuisce il malware loader Rugmi.
I ricercatori hanno ottenuto l'accesso alla directory web del sito in seguito a "un errore di sicurezza dell'operazione (OPSEC)" da parte di Coquettte.
La directory conteneva un file zip compresso di un Windows Installer. Una volta decompresso, il file sembra essere un dropper di malware per Rugmi piuttosto che un software di sicurezza.
Una volta eseguita, l'installazione raggiunge due URL hard-coded, cia[.]tf e quitarlosi[.], scarica un payload di seconda fase e rilascia file eseguibili aggiuntivi dai server controllati dall'attore della minaccia.
Rugmi è un malware loader modulare utilizzato dai criminali informatici per distribuire vari payload secondari, tra cui infostealer , trojan e ransomware. È stato osservato distribuire vari infostealer, tra cui Vidar, Raccoon Stealer V2, Lumma Stealer e Rescoms.
Secondo DomainTools, Rugmi è anche noto come Penguish ed è associato al caricatore Amadey.
Rugmi è distribuito da Coquettte utilizzando l'infrastruttura di Proton66, incluso l'hosting del server di comando e controllo (C2) dell'attore della minaccia sul dominio cia[.]tf, con cui Rugmi comunica.
Ulteriori indagini hanno rivelato che questo dominio è stato registrato con l'indirizzo email root[@]coquettte[.]com.
"Questo collegamento diretto ha confermato che Coquettte non solo gestiva cybersecureprotect[.]com come hub di distribuzione di malware, ma controllava anche cia[.]tf, che facilitava il download e l'esecuzione di payload di malware", hanno spiegato i ricercatori.
Guide sulle sostanze e le armi illegali
L'indagine ha inoltre portato alla luce altri progetti gestiti da Coquettte, tra cui un sito web ospitato su meth[.]to che contiene guide pratiche su sostanze e armi illegali.
Il sito presumibilmente fornisce ricette e istruzioni per la produzione di metanfetamine, la fabbricazione di esplosivi come C4/Semtex, la costruzione di dispositivi improvvisati (ad esempio granate stordenti, napalm) e persino guide sul furto di marmitte catalitiche. DomainTools non ha verificato che le guide possano effettivamente aiutare a produrre tali droghe e armi.
Coquettte gestisce anche un sito web personale, coquettte[.]com, che fornisce ulteriori approfondimenti sulla loro presenza online.
Il sito, ospitato su AWS, una volta mostrava un messaggio che diceva "Ingegnere informatico di 18 anni, sta conseguendo una laurea in Informatica".
I ricercatori di DomainTools hanno osservato: "Ciò suggerisce che Coquettte sia un giovane individuo, forse uno studente, il che coincide con gli errori da dilettanti (come la directory aperta) nei loro sforzi di criminalità informatica".
Collettivo di hacker amatoriali Black Hat
Si ritiene che Coquettte sia legata a un collettivo di hacker poco strutturato noto come Horrid.
Questa connessione è dimostrata dall'infrastruttura condivisa tra più domini, come horrid.xyz, terrorist.ovh, meth.to e meth.su, che utilizzano tutti lo stesso tracker di Google Analytics e ospitano contenuti correlati ad attività illecite.
L'impronta digitale sovrapposta indica che Coquettte è probabilmente lo pseudonimo di uno dei membri del gruppo piuttosto che un singolo attore.
Inoltre, Coquettte e i suoi soci mantengono una presenza online attiva su diverse piattaforme, tra cui un repository GitHub personale, un canale YouTube con lo pseudonimo "chickenwing_11" e un profilo Last.fm collegato.
La loro infrastruttura si estende anche ad altri siti correlati alla sicurezza informatica, come un progetto di emulazione di terminale Linux ospitato su xn--xuu.ws, rafforzando ulteriormente l'idea che questa rete funzioni come un incubatore per aspiranti criminali informatici, fornendo risorse anti-malware, soluzioni di hosting e un ambiente collaborativo per attività di hacking clandestine.
Nessun commento:
Posta un commento