Чего они не знали, так это того, что человеком, стоящим за этим, был старшеклассник.
На этой неделе полиция провинции Тханьхоа объявила о предъявлении обвинения 12 подозреваемым в глобальной сети распространения вредоносного ПО, которая заразила более 94 000 компьютеров в Европе, Америке и Азии. Среди обвиняемых — ученик 12-го класса из района Хак Тхань, идентифицированный только по фамилии Нгуен, которого следователи называют техническим лидером операции.
Путь Нгуена в киберпреступность начался около 2023 года, когда он начал самостоятельно изучать Python и C++ в 10-м классе.
Его изучение архитектуры операционных систем и хранения данных помогло ему быстро выйти за рамки базового программирования.
К 2024 году он создал исходный код, способный извлекать файлы cookie для входа, сохраненные пароли браузера, данные автозаполнения и другую конфиденциальную информацию, обходя при этом основные средства защиты операционной системы.
В июле 2024 года он связался через Telegram с Ле Тхань Конгом, 28 лет, из провинции Хатинь, который поручил ему разработать вредоносное ПО для крупномасштабного распространения. Файлы маскировались под сжатые архивы и распространялись по электронной почте и через онлайн-платформы. Когда жертвы открывали их, вредоносное ПО бесшумно устанавливалось и начинало собирать данные, которые автоматически перенаправлялись на боты Telegram, контролируемые группой.
Позже Конг познакомил Нгуена с Фан Суан Анем, 21 год, из провинции Нгеан. Ань предложил создать новую версию с расширенными возможностями, и Нгуен стал ведущим разработчиком того, что они назвали PXA Stealers. В рамках их договоренности Нгуен занимался всем программированием, обновлениями и модернизацией, в то время как остальная часть группы управляла распространением и использованием данных. Он получал 15% всей прибыли от украденных данных.
Группа интегрировала инструменты удаленного доступа во вредоносное ПО, что позволяло им контролировать зараженные компьютеры через частные виртуальные серверы. В конце 2024 года Нгуен принял еще один заказ от человека, которого полиция идентифицировала как Нгуен Тхань Чыонга, использовавшего псевдоним в Telegram «Адонис». Чыонг заплатил 500 долларов за новый вариант вредоносного ПО со своим псевдонимом, а Нгуен получал дополнительные платежи в размере от 50 до 100 USDT каждый раз, когда группа получала прибыль от данных, украденных с его помощью.
Сеть распространяла вредоносное ПО в основном посредством массовых рассылок по электронной почте, маскируя исполняемые файлы под PDF-файлы или обычные документы. Группа также покупала списки электронной почты на онлайн-форумах и использовала автоматизированные инструменты для массовой рассылки. Украденные данные направлялись в каналы Telegram для сортировки и использования.
Завладев устройствами, группа сосредоточилась на угоне учетных записей Facebook с возможностями размещения рекламы. Они использовались для запуска незаконной онлайн-рекламы или перепродавались третьим лицам.
По оценкам следователей, незаконная прибыль группы составляет десятки миллиардов донгов (10 миллиардов донгов Вьетнама эквивалентны 380 000 долларов США).
Нгуену и 11 другим лицам предъявлены обвинения по статье 285 Уголовного кодекса, предусматривающей производство и распространение инструментов для незаконных целей, и статье 289, предусматривающей незаконный доступ к компьютерным сетям или электронным устройствам.
Это дело связывает местную полицейскую операцию с кампанией вредоносного ПО, которая привлекла внимание некоторых ведущих мировых команд по кибербезопасности.
Cisco Talos впервые задокументировала PXA Stealer в ноябре 2024 года, определив его как информационный шпион, основанный на Python, нацеленный на государственные и образовательные учреждения в Европе и Азии. К середине 2025 года совместное расследование SentinelOne и Beazley Security отследило кампании PXA Stealer в 62 странах, с более чем 200 000 украденных учетных данных и более чем четырьмя миллионами собранных файлов cookie браузера.
*Имя студента изменено.
Выбирайте лучшие места для проживания!
Источник
VnExpress International