resumen
En este informe de prueba de concepto, Identity Intelligence de Recorded Future analizó datos de malware de robo de información para identificar a los consumidores de material de abuso sexual infantil (CSAM). Encontramos aproximadamente 3300 usuarios únicos con cuentas en fuentes CSAM conocidas. En particular, el 4,2% tenía credenciales de múltiples fuentes, lo que indica una alta probabilidad de actividad delictiva. Este estudio revela cómo los registros de robo de información pueden ayudar a los investigadores a rastrear la actividad CSAM en la web oscura. Los datos se han elevado a las autoridades policiales para que se tomen medidas adicionales.
Atrapado en la red: uso de registros de Infostealer para exponer a los consumidores de CSAM
fondo
El malware Infostealer roba información confidencial del usuario, como credenciales de inicio de sesión, billeteras de criptomonedas, datos de tarjetas de pago, información del sistema operativo, cookies del navegador, capturas de pantalla y datos de autocompletar. Los métodos de distribución comunes incluyen phishing, campañas de spam, sitios web de actualizaciones falsas, envenenamiento de SEO y publicidad maliciosa. Un vector de infección común es el software “crack” vendido a usuarios que buscan obtener software con licencia de forma ilegal. Los datos robados, conocidos como “registros de robo de información”, a menudo terminan en fuentes de la web oscura donde los ciberdelincuentes pueden comprarlos y obtener acceso a sus redes y sistemas.
El anonimato proporcionado por los sitios web basados en Tor con dominios .onion facilita la producción y el consumo de CSAM. Las investigaciones muestran que, aunque solo un pequeño porcentaje de los sitios web .onion alojan CSAM, la mayoría de la actividad de navegación en la web oscura se dirige a estos sitios.
metodología
En este informe de prueba de concepto, Identity Intelligence de Recorded Future aprovecha los datos de malware de robo de información para identificar a los consumidores de material de abuso sexual infantil (CSAM), descubrir fuentes adicionales e identificar tendencias geográficas y de comportamiento. Nuestra calificación de alta credibilidad se basa en la naturaleza de los datos de registro de Infostealer y la investigación posterior.
En un estudio de muestra de tres personas con cuentas en múltiples fuentes de CSAM, tener varias cuentas de CSAM puede indicar una mayor probabilidad de cometer delitos contra niños. Este estudio demuestra que los registros de robo de información pueden ayudar a las fuerzas del orden a rastrear la explotación infantil en la web oscura, que es difícil de rastrear. Todos los hallazgos relevantes han sido informados a las autoridades.
En nuestra investigación, creamos una lista de dominios CSAM de alta fidelidad conocidos y consultamos datos de Recorded Future Identity Intelligence para identificar a los usuarios con credenciales para estos dominios. Insikt Group colaboró con organizaciones sin fines de lucro como la World Childhood Foundation y la Anti-Human Trafficking Intelligence Initiative (ATII) para ampliar esta lista consultando Recorded Future Intelligence Cloud. Este proceso iterativo nos permitió identificar fuentes adicionales de CSAM.
Luego, Insikt Group consultó a Identity Intelligence de Recorded Future, que brinda acceso en tiempo real a la información de registro del ladrón de información, para obtener registros de autenticación vinculados a fuentes CSAM conocidas desde febrero de 2021 hasta febrero de 2024. Usted ha buscado. La deduplicación se realizó comparando el nombre de usuario del sistema operativo y el nombre de la PC.
Resultado de la investigación
Insikt Group identificó 3324 credenciales únicas utilizadas para acceder a sitios web CSAM conocidos. Estos datos nos permitieron recopilar información estadística sobre fuentes y usuarios individuales, como nombre de usuario, dirección IP e información del sistema. Estos datos detallados ayudan a las autoridades a comprender la infraestructura del sitio web de CSAM, descubrir técnicas que utilizan los consumidores de CSAM para ocultar sus identidades e identificar posibles consumidores y productores de CSAM.
En tres estudios de caso, Insikt Group utilizó datos contenidos en registros de robo de información e inteligencia de código abierto (OSINT) para identificar a dos personas y también identificar artefactos digitales, como una dirección de criptomoneda, perteneciente a un tercer individuo descubierto.
La investigación de PoC muestra que los registros de robo de información se pueden utilizar para identificar nuevas fuentes y tendencias en los consumidores de CSAM y en la comunidad de CSAM.
A medida que la demanda de registros de robo de información y el ecosistema de malware como servicio (MaaS) por parte de los ciberdelincuentes continúa creciendo, Insikt Group anticipa que los conjuntos de datos de registros de robo de información continuarán brindando la información más reciente y en evolución sobre los consumidores de CSAM.
Para leer el análisis completo, haga clic aquí para descargar el informe en formato PDF.
Fuente: https://www.recordedfuture.com/caught-in-the-net-using-infostealer-logs-to-unmask-csam-consumers
