APT und gezielte Angriffe
Kopeechka: Krimineller Registrierungsprozess für Online-Konten
Verschiedene cyberkriminelle Aktivitäten benötigen eine größere Zahl von Social Media-Konten, um erfolgreich zu sein. Wir zeigen, wie der Kopeechka-Service den Akteuren die Erstellung und Registrierung erleichtert und automatisiert.
Save to Folio
In den letzten Jahren sind Cyberkriminelle immer professioneller geworden - Betrüger haben ihre Fähigkeiten ständig verbessert, machen weniger gravierende Fehler und bauen verschiedene „As-a-Service“ Betriebe auf, die weniger qualifizierten Bedrohungsakteuren bei der Durchführung von Betrügereien und Angriffen unter die Arme greifen, um vollständige cyberkriminelle Taten durchführen zu können.
Es gibt verschiedene Arten von cyberkriminellen Services, darunter Malware-as-a-Service, wobei Cyberkriminelle Malware-Services entwickeln und an andere Akteure verkaufen. Dazu gehört auch das Erstellen und Verbreiten von Malware-Typen wie Ransomware auf kompromittierten Hosts. Andere Services erfordern die Einbindung mehrerer Social-Media-Konten, um erfolgreich durchgeführt werden zu können, z. B. die Verbreitung von Malware und Fehlinformationen oder auch Spamming. Das Versenden von Tausenden von Spam-Nachrichten über Tausende Konten auf Social-Media-Plattformen ist nichts Ungewöhnliches mehr. Aber wie schaffen Kriminelle es, dies alles zu automatisieren?
Kürzlich fanden wir einen Service, der zwar nicht klar illegal ist, aber cyberkriminelle Aktionen erleichtert, die auf groß angelegtem Spamming in sozialen Medien beruhen: den Kopeechka-Service, „Pfennig“ auf Russisch.
Der Dienst ist seit Anfang 2019 aktiv und bietet einfache Registrierungshilfen für Konten auf beliebten Social-Media-Plattformen, wie Instagram, Telegram, Facebook und X (früher Twitter). Auch Registrierungen auf Chat-Seiten, die sich an Minderjährige richten, sind über Kopeechka möglich.
Sicherung der Erstellung von Social Media-Konten
Die meisten Social-Media-Plattformen haben aktive Schritte unternommen, um die Sicherheit bei der Erstellung ihrer Konten zu erhöhen. Da viele Cyberkriminelle für ihre illegalen Aktivitäten Konten auf Social-Media-Plattformen einrichten, versuchen Social-Media-Unternehmen, das dadurch entstehende Risikozu minimieren. Und das beginnt bereits bei der Erstellung der Konten.
Es gibt verschiedene Sicherheitsmaßnahmen, um Plattformen vor der Erstellung betrügerischer Konten zu schützen:
- Validierung der Mail-Adresse. Bei der Registrierung muss ein Nutzer nachweisen, dass die angegebene Mail-Adresse existiert. Dies geschieht in der Regel mit einer Code-Bestätigung, bei der der Nutzer eine eindeutige URL oder einen Code per Mail erhält. Sobald er diesen Link anklickt oder den Code eingibt, wird sein Konto validiert.
- Verifizierung der Telefonnummer. Ziel ist es, den Nutzer zu zwingen, eine echte Telefonnummer anzugeben, die von der Social Media-Plattform validiert werden kann, in der Regel durch Senden einer Textnachricht mit einem Code, den der Nutzer auf der Plattform eingeben muss.
- CAPTCHA-Schutz. Obwohl es verschiedene Arten von CAPTCHAs gibt, ist das Ziel immer dasselbe: zu überprüfen, ob ein Benutzer eine echte Person und kein Bot ist. In der Regel müssen die Benutzer eine Frage beantworten, die nicht von automatischen Bots beantwortet werden kann.
- Reputation der IP-Adresse. Hier geht es darum, festzustellen, ob die IP-Adresse des Nutzers sauber ist und nicht von einem Proxy, einem virtuellen privaten Netzwerk (VPN) oder einer anderen Anonymisierungslösung stammt.
Je nach der anvisierten sozialen Plattform benötigen Cyberkriminelle eindeutige Mail-Adressen, eindeutige Telefonnummern und unverdächtige IP-Adressen, um erfolgreich eigene Konten zu erstellen.
Auch die von einigen Social Media-Plattformen verwendeten CAPTCHAs, die eine automatische Registrierung verhindern sollen, stellen für Cyberkriminelle keine große Hürde dar, denn es gibt inzwischen verschiedene Services, mit denen böswillige Akteure CAPTCHAs auf automatisierte Weise umgehen können. Das Gleiche gilt für Dienste zur Überprüfung von IP-Adressen, da diese Maßnahmen mit Hilfe von Residential Proxies umgangen werden können.
Allerdings brauchen sie immer noch eine gültige Mail-Adresse und möglicherweise eine Telefonnummer für jedes Konto, das sie erstellen wollen. Hier kommt Kopeechka ins Spiel.
Der Kopeechka-Service
Kopeechka bietet keinen Zugang zu Mail-Postfächern, aber zu Mails, die von Social-Media-Plattformen eingehen. Der Service ist so konzipiert, dass das Mailbox-Konto immer noch von Kopeechka und nicht von einem Drittnutzer kontrolliert wird.
Der Service bietet zwei verschiedene Arten von Mails an: Mail-Adressen, die ihre eigenen Domains verwenden, und solche, die bei beliebteren Mail-Hosting-Services betrieben werden. Der Service listet die gültigen Mail-Adressen auf, die es derzeit auf Lager hat (siehe Tabelle 1). Interessanterweise sind die meisten davon Hotmail- und Outlook-Postfächer.
Wir vermuten, dass diese Mail-Adressen entweder von den Kopeechka-Betreibern selbst erstellt wurden oder dass es sich um kompromittierte Mail-Postfächer handelt, da diese Akteure bereits früher Nachrichten in kompromittierten Mail-Postfächern von Untergrund-Communities gepostet haben. Der Dienst liefert auch mehrere Mail-Adressen, die in 39 Domains gehostet werden. Die Preise für Kopeechka-Domänen und gängige Domänen sind unterschiedlich, wobei letztere Dienste teurer sind.
Arbeitsweise
Der Service bietet seinen Kunden sowohl eine Webschnittstelle als auch eine API. Über die Weboberfläche können Nutzer einfach Social Media-Konten mit gekauften Mail-Adressen erstellen, während die API es erleichtert, mehrere Social Media-Konten automatisch zu erstellen. Für Social-Media-Plattformen, die Kopeechka derzeit nicht bekannt sind, können die Nutzer die API des Dienstes nutzen.
Alle Vorgänge werden vollständig automatisiert, so dass Cyberkriminelle in wenigen Sekunden Hunderte Konten oder mehr erstellen können, sofern sie über genügend Geld auf ihrem Kopeechka-Konto verfügen.
Der Service bietet keinen Zugang zu den tatsächlichen Postfächern. Wenn Nutzer Postfächer anfordern, um Konten in sozialen Medien einzurichten, erhalten sie nur den Verweis auf die Mail-Adresse und die Mail, die den Bestätigungscode oder die URL enthält. Dies ist für den Service von entscheidender Bedeutung, da die Betreiber somit eine einzige Mail-Adresse für mehrere Registrierungen auf verschiedenen Social-Media-Plattformen verwenden.
Bestimmte Social-Media-Plattformen verlangen bei der Kontobestätigung eine Telefonnummer, über die eine SMS mit einem eindeutigen Code verschickt wird. Der Nutzer muss dann den Code auf der Plattform eingeben, um sich erfolgreich zu registrieren. Um dieses Problem zu lösen, bietet Kopeechka seinen Nutzern die Möglichkeit, aus 16 verschiedenen SMS-Services zu wählen.
Neben der Werbung für seine Dienste fördert Kopeechka ganz professionell die Kundenbindung, indem die Betreiber ständig mit ihren Nutzern kommunizieren und Transparenz über alle Vorgänge im Zusammenhang mit dem Service bieten, einschließlich Netzwerkproblemen und Fehlermeldungen. Der Dienst bietet den Kunden Tipps, vollständige Anleitungen und sogar Entschädigungen.
Nutzer, die nicht genügend Kenntnisse besitzen, um über die API den Registrierungsprozess für ihre Konten zu automatisieren, können einen russischen Drittanbieter-Service ZennoPoster nutzen, der diese Aufgabe für sie übernimmt. Weitere Einzelheiten zu den Aufgaben des Service beinhaltet der Originalbeitrag. Des Weiteren unterhält Kopeechka ein Partnerprogramm für Entwickler und Nutzer mit Rabatten und Boni.
Aktivitäten im Untergrund
Neben der Werbung in Untergrundforen sind die Koppechka-Akteure offenbar auch an Exploits interessiert. Wir fanden eine Reihe von Profilen mit dem Namen Kopeechka in verschiedenen Foren, die Interesse an der Nutzung von Exploits und Möglichkeiten zum Einbruch in Konten zeigen. Häufig geben Bedrohungsakteure Inhalte nur an diejenigen weiter, die auf relevante Threads antworten, so dass sich leicht feststellen lässt, woran die Kopeechka-Akteure interessiert sind. Darüber hinaus stellen sie manchmal Fragen zu Produkten oder Services, die in solchen Foren beworben werden.
Verwendung
Bei der Untersuchung eines massiven Kryptowährungsbetrugs berichteten wir über den Missbrauch des sozialen Netzwerks Mastodon, für das plötzlich Hunderte neuer Konten eingerichtet wurden, um bei Nutzern für Fake Kryptowährungs-Websites zu werben. Brian Krebs beschrieb Anfang des Jahres, wie der Kopeechka Service für die Massenregistrierung von Mastodon-Konten genutzt wurde.
Bots nutzen den Dienst auch für die einfache Erstellung von Konten. Wir haben Code gesehen, der die Erstellung von Social-Media-Konten über die Kopeechka-API ermöglicht, darunter Skripte für Discord-, Telegram- und Roblox-Konten.
Darüber hinaus fanden wir ein Python-Skript, das zur Erstellung von VirusTotal-Konten verwendet werden kann, was darauf schließen lässt, dass einige Benutzer diese Konten möglicherweise zum Testen von Malware-Erkennungen registrieren.
Fazit
Das Kopeechka-Problem kann nur bekämpft werden, wenn sich die Anbieter von Mail-Diensten zusammenschließen und gemeinsam an der Verbesserung ihrer Registrierungsprozesse arbeiten. Diese Bemühungen können möglicherweise durch künstliche Intelligenz unterstützt werden, die Möglichkeiten zur Erkennung automatischer Kontoregistrierungen bietet.
Noch weitere Details zu Kopeechka sowie eine Liste der Indicators of Compromise finden Sie im Originalbeitrag.