rexto + MV.Pro = SCAM
В этой статье будут изложены факты, а также приведены некоторые размышления о том, что сейчас происходит с медийным проектом под названием Rexto.
Кража скинов на 400.000 рублей
История начинается еще в ноябре 2022 года. Тогда впервые был зафиксирован инцидент с панелью rexto. Если очень кратко, то 28 октября 2022 года была установлена панель rexto:
А уже 2 ноября со скинами, хранящимися на аккаунтах, начали происходить интересные вещи:
Полный список аккаунтов скамеров:
- https://steamcommunity.com/profiles/76561198143049763
- https://steamcommunity.com/profiles/76561198030476423
Для вывода криптовалюты использовались следующие кошельки:
С обоих кошельков все средства уходили на украинскую биржу WhiteBIT:
Общая сумма украденных скинов превысила 400.000 рублей на момент кражи.
Из основных предположений были следующие версии:
- панель rexto (так как это был последний установленный софт);
- взлом аккаунтов, так как они были куплены около 5 лет назад (и не у rexto);
- эксплоиты или фейковая версия ASF.
Ни вторая, ни третья версия не подтвердились - не было похожих случаев. В первом же случае парочка похожих случаев нашлась, но в сентябре стало известно, что на ПК была установлена скам-версия SDA. Но как она там оказалась, если владелец ПК утверждает, что качал SDA по ссылке из описания видео Demon TV?
Есть очень большая вероятность, что к происходящему имеет отношение команда разработчиков rexto, чему в дальнейшем даны будут подтверждения.
Странности со фейковым SDA
Из-за того, что официальное расследование еще продолжается, информация о человеке, владеющим доменом сайта для сбора логов, будет скрыт.
Также, данный материал имеет отношение к другой статье, из-за чего здесь будет только самая необходимая информация.
Инструкция по проверке оригинальности SDA появилась не на пустом месте. Как оказалось, существует целых 2 группы фейковых SDA, принадлежащих, соответственно, разным группам людей.
В описанном случае был подменен SDA версии 1.0.10, а данные отправлялись на 2 связанных между собой домена - vcredistdownload.com и webstatuschecking.com.
После того, как об этом стало известно, началось официальное расследование, и по некоторым признакам стало понятно, что это попадание в яблочко - с доменов испарились регистрационные данные. Это лишь подтвердило, что настоящий администратор этих доменов, а, возможно, и фейковой версии SDA, найден.
Однако была одна странность - во всех фейковых SDA версии 1.0.10, которые удалось найти в поисковиках, фигурировали совершенно другие домены с другой датой регистрации. Также не совпадало время компиляции файлов, и некоторые другие детали.
Пока что пойдем дальше по хронологии, но держите эту информацию в голове, она пригодится позже.
Массовое восстановление аккаунтов 10 апреля 2023 года
Ночью 10 апреля 2023 года в чате rexto появляется следующее паническое сообщение:
После небольшого расследования выясняется, что были восстановлены не только аккаунты rexto. Была собрана небольшая конфа из пострадавших, среди которых, по странному совпадению, оказались только "работники криптовалюты" и одновременно пользователи rexto-панели:
Как наверняка сказал бы сейчас rexto,
Но тогда ситуация разрешилась довольно просто - с помощью простейшего сканера портов и просмотра исходного кода было выяснено следующее:
- на сервере
accs.emailсуществует порт 3000, на котором поднят скрипт временной почты; - страницы
accs.emailссылаются наws.poso.city;
- на сервере panel.poso.city также существует порт 3000, на котором также поднят скрипт временной почты
- домен сайта был зарегистрирован в Латвии на некоего Павла Иванько
После того, как данные факты были установлены, об этом были немедленно уведомлены все пострадавшие, которые начали быстро перепривязывать аккаунты на свои почты. Стоит также отметить тот факт, что в апреле rexto активно помогал в восстановлении аккаунтов, хотя, возможно, это происходило по той причине, что зацепило и его аккаунты🤔
Но самое интересное заключается в другом - все пострадавшие пользовались панелью rexto, а восстановлены были не только его аккаунты, но и аккаунты, добавленные в панель. Причем о том, что это не обычный скам, говорит тот факт, что домены skr1pt.online и govno.email на тот момент не были зарегистрированы, а один из них rexto в тот день зарегистрировал на себя:
На всякий случай стоит отметить, что домен govno.email забрал себе hubatg:
Это говорит о том, что у того, кто пытался забрать себе аккаунты, был доступ к maFile-м, причем не только от аккаунтов, проданных rexto. Напомню, что все пострадавшие пользовались только панелью rexto, причем некоторые из них ставили панель на выделенный сервер.
Вспоминается еще одна интересная деталь. У одного из пострадавших как раз на выделенном сервере был обнаружен стиллер. Механизм его работы был очень прост - он копировал данные браузеров, системный ключ для расшифровки этих данных, а также данные некоторых криптокошельков, после чего отправлял их на сервер и удалялся.
К сожалению, сейчас чат с пострадавшими удален, но наверняка в комментариях под постом с этой статьей вы сможете найти некоторых из них
Только у этого конкретного человека программа, очевидно, вылетела с ошибкой, из-за чего просто физически не могла себя удалить. В подтверждение этих слов существует ссылка на VirusTotal, а также исходный код стиллера:
Код программы позволяет установить одну странность - домен для сбора логов зарегистрирован за 3 дня до того, как у rexto начали внезапно восстанавливать аккаунты. Учитывая, что для того, чтобы домен появился на всех DNS-серверах, нужен как минимум 1 день, указанный срок сокращается до 2 дней:
Прошло полгода
При подготовке к написанию этой статьи пришлось перечитать чат rexto за эти дни. И был обнаружен еще один человек, не замеченный ранее:
А еще за полгода rexto успел изменить свою версию произошедшего в апреле, и то самое паническое сообщение теперь выглядит вот так:
За этот же промежуток времени старый Discord-канал, в котором можно было найти даты обновлений панели, был удален, что в контексте произошедшего выглядит как банальное уничтожение доказательств:
Еще немного про аккаунты
Если вы думали, что на этом приколы с аккаунтами rexto закончились, то вы сильно ошиблись. Когда начались так называемые чистки проданных аккаунтов, выяснилось сразу несколько интересных деталей:
Также имеется предположение, что некоторые аккаунты rexto все же перепродаются повторно:
31 августа 2023 года аккаунты стримера Maxim Mixer получили блокировки. По этому поводу он обоснованно критиковал rexto, у которого купил аккаунты, мимо чего rexto пройти не мог:
Но при этом сам rexto предоставил доказательства того, что акки он действительно продал:
То, что произошло дальше, не укладывается ни в какие рамки приличия - за критику rexto фактически пригрозил сливом проданных аккаунтов:
UPDATE. Также имеется информация о том, что на некоторые почты, привязанные к проданным аккаунтам, привязывалось больше одного аккаунта:
Danlep / MV.Pro
Пришло время поговорить о том, кто же стоит за панелью rexto. Знакомьтесь, это команда человека, из-за панели которого в 2021 году сотни тысяч аккаунтов получили игровые блокировки - Danlep, он же владелец панели Mountain View.
Начнем непосредственно с него. В апреле 2022 года он делает в своей группе этот пост:
К сожалению, за давностью прошедших лет, а также из-за того, что домен никто не продлил, скачать данный архив невозможно. Зато, благодаря неизвестному человеку, у нас есть возможность оценить VirusTotal того, что было в этом архиве:
Позднее danlep предоставил исходный код своей панели, но есть одна маленькая деталь - исходников лаунчера там нет:
Это наводит на мысль о том, что эти комментарии могут внезапно оказаться правдой:
Какое отношение он и его команда имеют к rexto?
Для того, чтобы выяснить, нужно рассказать историю их знакомства. Как оказалось, в свое время rexto был самым настоящим агентом техподдержки у danlepa, иначе информацию с этого скриншота и не объяснить:
Далее, имеется информация, что идея проекта Cloud Wave родилась еще в 2020 году. Вопрос - если тогда еще существовала панель MV Pro, зачем было создавать еще одну панель??
Ну и наконец, за продажу Cloud Wave в ВК отвечает Сергей Бондаревский, один из разработчиков панели Mountain View:
Кто еще имеет отношение к панели Cloud Wave?
- Антон Санин (https://vk.com/ant.sanin)
- Илья Краснов (https://vk.com/only_metall_only_hardcore)
5-6 рукопожатий, 7-8 миллионов
К чему вообще зашел разговор про кодеров MV.Pro? Все дело в том, что у каждого из них имеется определенная связь с человеком, который владел доменами, связанными с фейковым SDA:
Но стоит заметить, что у rexto нет таких связей с этим человеком:
Из этого следует один нехороший вывод - вся команда MV.Pro могла быть в сговоре с человеком, на которого были оформлены домены, на которые приходила информация об аккаунтах из фейкового SDA.
Это косвенно подтверждает и информация от одного из пострадавших, которому разработчик настраивал панель через удаленный доступ и у которого в октябре были украдены аккаунты:
Раз уж речь зашла про разработчиков, можно немного пробежаться и по некоторым софтам, которые продавал / предоставлял rexto лично или через разработчиков.
Лутер, забаненный Google
Как наверняка известно большинству из вас, в панели Cloud Wave одно время был встроенный (хотя это слишком натянуто) лутер, написанный на Node.js. Но затем кое-кто из разработчиков решил, что это экономически невыгодно, и свет увидело это творение, которое позже также сыграет свою роль:
Как удалось выяснить, ответственным за работу и распространение этого лутера в Rexto-боте является некий Rostislav Potapov:
Само собой, этот лутер необходимо было скачать для проверки хотя бы на VirusTotal. Вот только при переходе по указанной ссылке всех ожидает сюрприз:
Это стало полной неожиданностью, поскольку Updater для панели rexto вполне спокойно лежит на Google.Диске и никто его не удаляет:
Поэтому идем изучать Условия использования Google.Диска, и находим там этот пункт:
Второй неожиданностью стало то, что этот самый Rostislav Potapov "работал" бустером в группе панели Mountain View, а также активно помогал в ее разработке:
Третьей неожиданностью стало то, что именно его лутер используется для "чистки" проданных rexto аккаунтов:
А решающим фактором стал такой ответ на запрос информации о том, кто пользуется лутером в момент перекидывания вещей:
В чем секрет отсутствия детектов панели?
С первого взгляда кажется, что если в непосредственно исполняемом файле антивирусы не обнаружили никакой гадости, то этот файл может быть запущен и это не приведет ни к каким неприятным последствиям.
И действительно, у исполняемого файла CloudWaveIdle.exe 0 детектов:
Однако обратите внимание, что под хэшем файла написано совершенно другое расширение файла. А что, если мы проверим этот файл, который, кстати, тоже присутствует в папке с панелью? О чудо, детекты начали появляться:
А теперь по такому же принципу исследуем то, что нам наиболее интересно, а именно - программу для обновления панелей:
А также DLL:
Теперь остается только принять тот факт, что у обычного апдейтера детектов в 7 раз больше, чем у файла панели. Но возникает вопрос - почему все так сложилось? Надеюсь, в ответной статье (если она, конечно, будет) найдутся внятные объяснения.
А теперь, после такого огромного количества информации, переходим к не менее огромному количеству информации о чистке проданных аккаунтов
Перед зачисткой
1 августа 2023 года в одной фермерской группе появляется пост о том, что основной аккаунт rexto получил игровую блокировку:
Стоит отметить, что даже это событие не было освещено rexto в его канале (было только несколько сообщений в чате), а о возможных причинах вы узнаете в разделах "Бонус 1" и "Чисти, чтобы чисто было"
Как вы можете заметить, некоторые скины он все-таки успел спасти, и скорее всего вывести в реал. А теперь представим, что денег с продажи этих скинов ему хватило на 2 месяца.
Бонус 1: повышаем уровень жести
Эта статья не могла обойтись без предварительного сбора информации. И в ходе него была обнаружена интересная деталь. На некоторых форумах rexto использует никнейм cody1997:
И на одном из таких форумов была обнаружена ссылка на фейковую страницу ВК:
При переходе на эту страницу открывается пустая группа с заблокированной страницой администратора в контактах:
После некоторых манипуляций обнаруживается вторая группа с другим аккаунтом, который связан с первым:
А название этой группы очень похоже на один никнейм в Telegram - garvilen.
Отмечаем тот факт, что он появился в чате rexto в день его создания:
А также то, что он активно участвовал в конфликте rexto со стримером:
Так как этот персонаж будет засвечен в следующей части статьи, можно дать дополнительную информацию о нем:
Чисти, чтобы чисто было!
Начиная с 3 октября 2023 года с аккаунтов, проданных rexto, начинают таинственым образом исчезать скины:
И это только известные случаи. На одном из аккаунтов, куда уходили украденные скины, было куплено и полностью заполнено 10 хранилищ. Полный список аккаунтов, на которые отправлялись украденные скины:
- https://steamcommunity.com/profiles/76561199376329196
- https://steamcommunity.com/profiles/76561199170978315
- https://steamcommunity.com/profiles/76561199095801137
- https://steamcommunity.com/profiles/76561199442020948 (R)
- https://steamcommunity.com/profiles/76561199136237187
- https://steamcommunity.com/profiles/76561199136108760
- https://steamcommunity.com/profiles/76561199136552218
Что же касается скомпрометированных аккаунтов, все они без исключения были проданы rexto. На этих аккаунтах были почты с доменами mail.ru, rambler.ru, govno.email и skr1pt.online. Некоторые из них могут показаться знакомыми, и действительно - домен одной из этих почт сейчас зарегистрирован на rexto.
А сейчас самое время вспомнить, как rexto отреагировал на похожую ситуацию в апреле, потому что сейчас rexto игнорирует проблему ПОЛНОСТЬЮ. Всё, на что его хватило - этот пост, который он выложил спустя 4 дня с начала скама в своем чате (опять не в канале):
Частично он прав, но есть парочка аргументов касательно того, почему никто не менял данные на почтах и аккаунтах:
- до этого у rexto была безупречная репутация;
- многие были уверены, что эти аккаунты зарегистрировал сам rexto, хоть и авторегером (и этому есть подтверждения, о них дальше);
- при смене пароля на аккаунте не обеспечивается должная его безопасность. Для обеспечения полной безопасности нужно сбрасывать Steam Guard, и в таком случае теряется смысл от покупки аккаунта с MaFile.
А когда у rexto спросили, почему с проданных им аккаунтов начали исчезать вещи, он начал нести свою любимую ахинею про стиллеры, выдумывать различные предлоги, чтобы не предоставлять информацию о тех, кто продал аккаунты ему, и откровенно издеваться над своими клиентами:
И такому поведению прямо перед выходом статьи нашлось достойное объяснение: на многих аккаунтах, с которых крали вещи лутером rexto, нашлись обмены за 2021 - 2022 года, с аккаунтами кого бы вы думали? REXTO и его фейка/друга garvilen:
Список известных аккаунтов-хранилищ, на которые уходили скины в 2021 году:
- https://steamcommunity.com/profiles/76561198814284024 (<ilya>)
- https://steamcommunity.com/profiles/76561198410968461
- https://steamcommunity.com/profiles/76561198838291405
- https://steamcommunity.com/profiles/76561198157402996
- https://steamcommunity.com/profiles/76561198371930258
- https://steamcommunity.com/profiles/76561198163790511
- https://steamcommunity.com/profiles/76561198829846854
- https://steamcommunity.com/profiles/76561198452928827 (</ilya>)
- https://steamcommunity.com/profiles/76561198827706485
- https://steamcommunity.com/profiles/76561199117772700
- https://steamcommunity.com/profiles/76561198060725032
- https://steamcommunity.com/profiles/76561199153522125
- https://steamcommunity.com/profiles/76561199153484182
- https://steamcommunity.com/profiles/76561199131961863
- https://steamcommunity.com/profiles/76561197996328847
- https://steamcommunity.com/profiles/76561199109351331
Однако в последнем случае rexto знатно напиздел, потому что в августе были забанены исключительно его аккаунты, а, как можно заметить на скрине ниже, на упомянутом аккаунте блокировка выдана в тот же день, что и на основе rexto:
Теперь достоверно известно, что на многих аккаунтах rexto фармил лично, а значит, либо регал их сам, либо знает того, кто их ему регал. В обоих случаях причастность рексто к скаму очевидна. А сообщение от его друга/фейка только подтверждает это:
Вишенка на торте - аккаунты до сих пор продаются в боте:
А еще стоит обратить внимание на то, что некоторые акки rexto получили КТ в день получения остальными аккаунтами игровых блокировок:
Очевидно, КТ на этих аккаунтах выглядит как-то так:
Бонус 2: почему во всех скамах на 30% однозначно виноват rexto?
Во время другого расследования, кстати, тоже связанного с аккаунтами rexto, выяснилась одна очень любопытная деталь - rexto не имеет никакого отношения к продаваемым товарам, но зато охотно берет 30% с каждой продажи через бота:
Так как аккаунты регистрировались не им, то получается, что за аккаунты он получал все те же 30%. Вопрос - сколько процентов он получит от суммы украденных с этих аккаунтов скинов?)
Бонус 3 - арбитраж на rexto х2
UPDATE: Информация для арбитража:
UPDATE 2: Доп. информация для арбитража:
UPDATE 3: еще доп. информация для арбитража:
Бонус 4 - измененные реквизиты бота и совпадения
Достоверно известно, что в боте для оплаты товаров менялись реквизиты для оплаты в криптовалюте:
И по старому адресу мы видим следующие транзакции буквально через 10 дней после массового восстановления аккаунтов в апреле:
Дополнение от 27.02.24
16 февраля 2024 года, при проверке профилей из специального списка, было обнаружено, что аккаунт, который был связан со скамом, получил игровую блокировку 6 дней назад (10 февраля 2024 года):
Что характерно, в этот же день прошла волна игровых блокировок аккаунтов, которые продавались Rexto. Из-за этого волну банов связали с его аккаунтами.
Это очередное доказательство того, что Rexto знает, кто именно занимается скамом, поскольку он продал скамеру и лутер, и аккаунты, на которые до сих пор принимается дроп с фермерских акков.
Итоги
Все выводы вы можете сделать сами, но обратите внимание на 3 вещи:
- у пострадавших с личными взломанными аккаунтами была панель рексто;
- у других пострадавших были аккаунты, которые продал рексто;
- во всех случаях доступ к аккаунтам осуществлялся через MaFile.
© ФАРМ-БЕЗОПАСНОСТЬ
Теги: rexto, rexto777, rexto1337, rexto_1337, cody1997, cody19971, garvilen, whitebit, mv.pro, CloudWave, Cloud Wave, idle, mafile, фейковый SDA, accs.email, govno.email, poso.city, skr1pt.online, стиллер, крипта, Mountain View, ant.sanin, only_metall_only_hardcore, CloudWaveLooter, CloudWave Looter, Cloud Wave Looter, rexandr, CloudWaveIdle, CloudWaveVertigo