ScamRally / Неудачная попытка скама

Скамерам не место в фермах

Дела минувших дней (экспозиция)

В октябре 2023 года на этом канале вышла статья о владельцах одной панели и продавцах аккаунтов Steam. После установки их панели на некоторых ПК необъяснимым образом оказывалось вредоносное ПО, а из инвентарей проданных аккаунтов периодически исчезали все вещи.

Так как это была достаточно популярная панель, а ее владельцами были люди с репутацией, статья вызвала резонанс в фермерском сообществе. Многие начали менять пароли на аккаунтах, которые были куплены у данных людей либо были импортированы в их панель.

Этим и воспользовался один скамер - @pradafame. Под видом программы для смены паролей он с фейковых Telegram-аккаунтов распространял стиллер под названием RedLine:

Переписка с фейком скаммера

Как работала эта схема скама?

@pradafame заходил в чат и приглашал одного из фейков, в данном случае - @givemedox:

этот фейк парсит список участников чата, если он не скрыт;
с аккаунта, который не состоит в чате, начинается обработка потенциальных жертв с помощью методов социальной инженерии, как на скриншоте выше
увеличивает кредит доверия к непонятному ПО еще один левый аккаунт, также приглашенный @pradafame (в данном случае @careaboutmoney):

В итоге эта попытка скама была достаточно быстро пресечена, и все 4 аккаунта отправились в бан. Администраторы остальных сообществ также были оповещены о них:

На что здесь следует обратить внимание?

На IP-адрес сервера для сбора логов:

IP-адрес находится в Нидерландах

Дату компиляции ПО:

Эта дата означает, что софт никак не мог использоваться год назад

Наши дни

Завязка

10 февраля 2024 года в фермерских сообществах начала появляться информация о блокировках аккаунтов с CS2. Как позже выяснится, одним из факторов для получения блокировки являлся купленный у упомянутого ранее владельца панели аккаунт. Впрочем, конкретно это не имеет к истории никакого отношения.

Как и в октябре 2023 года, этой суматохой воспользовался скамер. Вечером того же дня с фейковых аккаунтов, вероятно, купленных на одном зеленом форуме, участникам фермерских сообществ стали поступать следующие сообщения:

Замечаете сходство? Снова это произошло после значимого для фермеров события, и снова кто-то начинает спамить в ЛС людям, имеющим отношение к фермерскому сообществу со странными предложениями.

Однако имелись и отличия от предыдущей атаки. В этот раз для участников каждого отдельного чата было предусмотрено отдельное сообщение. Так, в участникам чата панели, которая была обнаружена античитом VAC, рассылалось соответствующее сообщение.

Ожидание скама

Совершенно очевидно, что происходящее является только подготовкой к скаму. Об этом могут четко сказать следующие моменты:

способ "рекламы" - спам по целевой аудитории
комментарий в скриптах сайта

Терминология эта скамерская...

дата регистрации домена rentrally.org

Дата регистрации - 6 февраля, дата атаки - 10 февраля

слишком большое количество аккаунтов, указанное на сайте, которое не изменилось за день:

В среднем у одного фермера 250 аккаунтов

Одним словом, уже буквально все говорит о скаме, но до сих пор неясно, в чем он будет заключаться. Поэтому остается только подать заявку с фейкового аккаунта и ждать ответ:

В указанное время было получено сообщение с файлом, в котором якобы содержались данные от аккаунтов:

В качестве пароля использовался Telegram-никнейм

Анализируем файл

В этом разделе статьи будет показано, как анализировать
подобные файлы без виртуальной машины

Итак, потенциально вредоносный файл получен. Как узнать, что внутри?

1. Первым делом убедимся, что перед нами действительно архив. Для этого загрузим его на Яндекс.Диск:

Итак, это действительно архив, в котором содержится текстовый документ и папка с данными Steam Guard к ним. Уже тут можно заметить несколько странностей:

количество .maFile не совпадает с запрошенным ранее количеством аккаунтов;
Почти все SteamID, указанные в имени файлов, принадлежат неактивированным или несуществуюющим аккаунтам:

В папке с .maFile имеется подозрительный файл maFiles.scr:

К сожалению, Яндекс.Диск не отображает иконки файлов

2. Снимаем пароль с помощью любого онлайн-сервиса и загружаем архив без пароля снова на Яндекс.Диск, чтобы детальнее рассмотреть содержимое архива:

Файл с данными от аккаунтов содержит правдоподобые данные

Также мы можем скачать любой отдельный файл и посмотреть, что находится у него внутри. Для примера возьмем случайный maFile:

Выглядит как полностью валидный maFile, но есть несколько подозрительных моментов:

SteamID сессии не соответствует SteamID, указанному в имени файла;
Никнейма аккаунта нет в файле с данными аккаунтов.

Из всего этого можно сделать вывод, что отправка этого файла преследовала не те цели, что были заявлены сервисом RentRally. Поэтому самое время изучить подозрительный файл. И все становится ясно сразу же после его скачивания:

Так выглядит файл в Проводнике с включеным отображением расширений файлов

Итак, как же должна была выглядеть успешная атака:

Фермер, получивший спам-рассылку, заходит на сайт и отправляет заявку;
Скамер сообщает фермеру дату и время, когда фермер получит данные от аккаунтов и сможет приступить к отфарму;
После получения файла фермер распаковывает файл, и, не найдя нужного количества maFile, открывает вложенную папку, которая на самом деле является самораспаковывающимся архивом с вирусом [VirusTotal]. Социальная инженерия в деле.

При должной подготовке и выборе других способов привлечения жертв данный способ скама мог бы и сработать, но, к сожалению, все фермеры и админы фермерских чатов были предупреждены о скаме заранее и не теряли бдительности.

Начинаем нейтрализацию

Итак, схема понятна, теперь надо нейтрализовать скамера. Для этого продолжим распаковку архивов. Так как scr-файл в данном случае являлся самораспаковывающимся архивом, то, переименовав его в maFiles.sfx, мы можем распаковать его с помощью еще одного онлайн-сервиса:

Итак, внутри файла содержится bat-файл для запуска work.exe и сам work.exe. Cодержимое bat-файла подсказывает, что work.exe - очередной архив, так как WinRar, с помощью которого и был создан этот файл, поддерживает аргумент -p для распаковки архива сразу с паролем. Таким образом, пароль архива - riverdD

Повторяя предыдущий шаг, наконец-то получаем тот самый вредоносный файл, который нам нужен для изучения:

С помощью VirusTotal получаем необходимую информацию, а именно:

IP-адрес сервера для сбора логов 193.233.74.20

Принадлежность данного IP-адреса DpkgSoft Computers, Ltd., а также интервалу адресов, который арендует у DpkgSoft Computers, Ltd. некая компания ServShell:

С помощью Manalyzer узнаем язык, на котором был написан стиллер (Go), и все тот же IP-адрес:

Также с помощью специального инструмента можно узнать, что на этот IP-адрес привязан домен blockhain-services.uk:

Алиасом этого домена является fillaryfx.example.com:

На данный момент нам это ничего не говорит, но запомним данную информацию

Кульминация: кто стоял за скамом

Итак, мы узнали достаточно технической информации. Теперь самое время понять, кто организовал эту атаку. Есть несколько путей, которыми можно пойти:

Аккаунты, которые использовались для спама

Так как для спама использовались различные аккаунты (с никнеймами и без, с аватарками и без, с разными датами регистрации), можно сделать вывод, что это купленные аккаунты. Через них будет очень сложно найти скамера.

Аккаунты, которые были отправлены скамером

Неизвестно, каким IQ нужно обладать, чтобы отправить данные от настоящих аккаунтов, собираясь скамить. Однако проверить данные все-таки стоит.

Как и ожидалось, логины и пароли фейковые:

А вот с maFile крайне повезло - скамер не знал, какую информацию они содержат, и поэтому изменил только незначительную часть данных и оставив самые важные. Пройдясь по ним скриптом, получаем следующие данные:

огромный список фейковых SteamID;
два настоящих аккаунта, maFile которых использовались для генерации остальных (первый, второй). С их помощью была найдена часть фермы скамера, ссылки на которую можно найти в конце статьи;
два IP-адреса, с которых использовались аккаунты (95.164.61.13 и 82.45.55.248).

Даже обычные maFile могут дать необходимую информацию

К сожалению, эта информация также не помогает выяснить, кто стоит за скамом. Попробуем найти его другим способом.

Программист сайта

Так как программист принял меры к закрытию сайта и дополнительно предупредил фермерское сообщество, тем самым доказав свою непричастность к скаму, его данные будут замазаны

Так получилось, что прямо в коде сайта имелась ссылка на его создателя: