Das Cybersicherheitsunternehmen eSentire hat vor kurzem einen bedeutenden Durchbruch bei der Identifizierung des zweiten Bedrohungsakteurs hinter der Golden Chickens-Malware erzielt. Diese Entdeckung wurde aufgrund eines schwerwiegenden operativen Sicherheitsfehlers seitens der Person, die als „Jack“ bezeichnet wird und in Bukarest, Rumänien, wohnt, gemacht. Zusammen mit einem anderen Kriminellen, der als „Chuck aus Montreal“ bekannt ist, betrieb Jack ein Konto im Exploit.in-Forum unter dem Alias „badbullzvenom“.

Die Forscher von eSentire beschreiben Jack als den wahren Drahtzieher hinter der Golden Chickens-Malware. Überraschenderweise enthüllt das kanadische Unternehmen, dass Jack auch als Inhaber eines Import- und Exportunternehmens für Gemüse und Obst aufgeführt ist, was seine kriminellen Aktivitäten um eine unerwartete Ebene erweitert.

Um nicht entdeckt zu werden, verwendet Jack mehrere Pseudonyme in Untergrundforen, auf Social-Media-Plattformen und in Jabber-Konten. Er hat umfangreiche Anstrengungen unternommen, um die Golden Chickens-Malware zu verschleiern und sie für die meisten Antivirenunternehmen unauffindbar zu machen. Der Zugang zu Golden Chickens Malware-as-a-Service (MaaS) ist streng auf eine kleine Anzahl von Kunden beschränkt.

Golden Chickens, auch bekannt als More_eggs, ist eine Malware-Suite, die von finanziell motivierten Cyberkriminellen wie der Cobalt Group und FIN6 eingesetzt wird. Diese Malware ist mit verschiedenen Komponenten ausgestattet, die dazu dienen, Finanzinformationen zu sammeln, die seitliche Bewegung auszuführen und sogar ein Ransomware-Plugin namens TerraCrypt einzusetzen.

Die eSentire-Untersuchung von Jacks Online-Aktivitäten ergab, dass seine Geschichte bis ins Jahr 2008 zurückreicht, als er gerade 15 Jahre alt war. Zu dieser Zeit trat er mehreren Cybercrime-Foren als Neuling unter verschiedenen Pseudonymen bei, die zusammen als LUCKY bekannt sind. Im Laufe der Jahre entwickelte sich Jack von einem aufstrebenden jugendlichen Programmierer, der sich für die Erstellung bösartiger Programme interessierte, zu einem erfahrenen Hacker, der sich mit der Entwicklung von Passwort-Diebstahlprogrammen, Cryptern und More_eggs beschäftigte.

Lesen Sie auch: „CopperStealer Malware Crew kehrt mit erweiterten Rootkit- und Phishing-Kit-Modulen zurück“.

2008 stellte Jack GHOST vor, einen Krypter, der es anderen Akteuren ermöglichte, Malware zu verschlüsseln und zu verschleiern, um so der Entdeckung zu entgehen. Der tragische Tod seines Vaters bei einem Autounfall im Jahr 2010 veranlasste ihn jedoch, die Entwicklung dieses Werkzeugs zu stoppen.

In einem Forumsbeitrag vom April 2012 erwähnte er, dass er einen Umzug nach Pakistan in Erwägung ziehe, um dort als Sicherheitsspezialist für die Regierung zu arbeiten, was auf mögliche Verbindungen dorthin hindeutet.

Obwohl es unklar ist, ob Jack schließlich nach Pakistan umgezogen ist, hat eSentire taktische Überschneidungen zwischen einer 2019 von einem pakistanischen Bedrohungsakteur namens SideCopy durchgeführten Kampagne und Jacks VenomLNK-Malware festgestellt. Die VenomLNK-Malware dient als erster Zugriffsvektor für die More_eggs-Backdoor.

Im Jahr 2017 veröffentlichte badbullzvenom (alias LUCKY) das VenomKit, aus dem sich schließlich das Golden Chickens MaaS entwickelte. Die Fähigkeit der Malware, sich der Erkennung zu entziehen, erregte die Aufmerksamkeit der Cobalt Group, einer russischen Cybercrime-Bande, die sie bei Angriffen auf Finanzunternehmen mit Cobalt Strike einsetzte.

Zwei Jahre später übernahm FIN6, ein weiterer finanziell motivierter Bedrohungsakteur, den Dienst Golden Chickens, um das Eindringen in Verkaufsautomaten von Einzelhändlern in Europa und den Vereinigten Staaten zu erleichtern.

Die Ermittlungen von eSentire zu Jacks Identität ergaben auch Informationen über sein Privatleben, darunter die Identität seiner Frau, seiner Mutter und seiner beiden Schwestern. Es scheint, dass er und seine Frau in einer wohlhabenden Gegend von Bukarest wohnen, wie aus den Social-Media-Accounts seiner Frau hervorgeht, auf denen ihre Reisen in Städte wie London, Paris und Mailand zu sehen sind, begleitet von Fotos, auf denen sie Designerkleidung und -zubehör tragen.

Die Forscher von eSentire behaupten, dass Jacks fataler Fehler bei der Nutzung des Jabber-Kontos auftrat, was letztendlich zur Aufdeckung seiner Identität führte.