“Unveiling the Mastermind : Jack” de Roumanie, derrière le logiciel malveillant Golden Chickens”.

Reading Time: ( Word Count: )

May 20, 2023
Nextdoorsec-course

La société de cybersécurité eSentire a récemment fait une percée importante en identifiant le deuxième acteur de la menace à l’origine du logiciel malveillant Golden Chickens. Cette découverte est due à une grave erreur de sécurité opérationnelle de la part de la personne, appelée “Jack”, qui réside à Bucarest, en Roumanie. Avec un autre criminel connu sous le nom de “Chuck from Montreal”, Jack a ouvert un compte sur le forum Exploit.in sous le pseudonyme “badbullzvenom”.

Les chercheurs d’eSentire décrivent Jack comme le véritable cerveau du malware Golden Chickens. De manière surprenante, les preuves découvertes par la société canadienne révèlent que Jack est également répertorié comme propriétaire d’une entreprise d’importation et d’exportation de légumes et de fruits, ce qui ajoute une couche inattendue à ses activités criminelles.

Pour éviter d’être repéré, Jack utilise plusieurs pseudonymes sur des forums clandestins, des plateformes de médias sociaux et des comptes Jabber. Il a déployé des efforts considérables pour obscurcir le logiciel malveillant Golden Chickens, afin de le rendre indétectable par la plupart des sociétés antivirus. L’accès au Golden Chickens Malware-as-a-Service (MaaS) est strictement limité à un petit nombre de clients.

Golden Chickens, également connu sous le nom de More_eggs, est une suite de logiciels malveillants utilisée par des cybercriminels à motivation financière tels que Cobalt Group et FIN6. Ce logiciel malveillant est équipé de divers composants conçus pour collecter des informations financières, exécuter le mouvement latéral et même déployer un plugin de ransomware appelé TerraCrypt.

L’enquête d’eSentire sur les activités en ligne de Jack révèle une histoire qui remonte à 2008, alors qu’il n’avait que 15 ans. À l’époque, il a rejoint plusieurs forums de cybercriminalité en tant que membre novice sous divers pseudonymes regroupés sous le nom de LUCKY. Au fil des ans, Jack est passé du statut d’adolescent aspirant programmeur intéressé par la création de programmes malveillants à celui de pirate expérimenté impliqué dans le développement de voleurs de mots de passe, de cryptomonnaies et de More_eggs.

Lire aussi : “L’équipe du malware CopperStealer revient avec des modules avancés de Rootkit et de Phishing Kit”.

En 2008, Jack a présenté GHOST, un crypteur permettant à d’autres acteurs de crypter et d’obscurcir des logiciels malveillants, échappant ainsi à la détection. Cependant, la mort tragique de son père dans un accident de voiture en 2010 l’a poussé à interrompre le développement de cet outil.

Dans un message publié sur un forum en avril 2012, il a indiqué qu’il envisageait de se rendre au Pakistan pour travailler pour le gouvernement en tant que spécialiste de la sécurité, ce qui laisse supposer l’existence de relations potentielles dans ce pays.

Bien que l’on ne sache pas si Jack s’est finalement installé au Pakistan, eSentire a identifié des chevauchements tactiques entre une campagne menée en 2019 par un acteur pakistanais appelé SideCopy et le logiciel malveillant VenomLNK de Jack. Le logiciel malveillant VenomLNK sert de vecteur d’accès initial à la porte dérobée More_eggs.

En 2017, badbullzvenom (alias LUCKY) a publié VenomKit, qui a finalement évolué vers le MaaS Golden Chickens. La capacité du logiciel malveillant à échapper à la détection a attiré l’attention du Cobalt Group, un gang russe de cybercriminels qui l’a utilisé dans des attaques visant des entités financières à l’aide de Cobalt Strike.

Deux ans plus tard, FIN6, un autre acteur de la menace motivé par des raisons financières, a également adopté le service Golden Chickens pour faciliter les intrusions visant les machines de point de vente (POS) utilisées par les détaillants en Europe et aux États-Unis.

L’enquête d’eSentire sur l’identité de Jack a également révélé des informations sur sa vie privée, notamment l’identité de sa femme, de sa mère et de ses deux sœurs. Il semble que lui et sa femme résident dans un quartier aisé de Bucarest, comme en témoignent les comptes de médias sociaux de sa femme qui présentent leurs voyages dans des villes comme Londres, Paris et Milan, accompagnés de photos d’eux portant des vêtements et des accessoires de marque.

Les chercheurs d’eSentire affirment que l’erreur fatale de Jack s’est produite lorsqu’il a utilisé le compte Jabber, ce qui a finalement conduit à l’exposition de son identité.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *