Фарм-Безопасность

ScamRally / Неудачная попытка скама

2024-02-29T02:29:03.538Z

Скамерам не место в фермах

Дела минувших дней (экспозиция)

В октябре 2023 года на этом канале вышла статья о владельцах одной панели и продавцах аккаунтов Steam. После установки их панели на некоторых ПК необъяснимым образом оказывалось вредоносное ПО, а из инвентарей проданных аккаунтов периодически исчезали все вещи.

Так как это была достаточно популярная панель, а ее владельцами были люди с репутацией, статья вызвала резонанс в фермерском сообществе. Многие начали менять пароли на аккаунтах, которые были куплены у данных людей либо были импортированы в их панель.

Этим и воспользовался один скамер - @pradafame. Под видом программы для смены паролей он с фейковых Telegram-аккаунтов распространял стиллер под названием RedLine:

Переписка с фейком скаммера

Как работала эта схема скама?

@pradafame заходил в чат и приглашал одного из фейков, в данном случае - @givemedox:

этот фейк парсит список участников чата, если он не скрыт;
с аккаунта, который не состоит в чате, начинается обработка потенциальных жертв с помощью методов социальной инженерии, как на скриншоте выше
увеличивает кредит доверия к непонятному ПО еще один левый аккаунт, также приглашенный @pradafame (в данном случае @careaboutmoney):

В итоге эта попытка скама была достаточно быстро пресечена, и все 4 аккаунта отправились в бан. Администраторы остальных сообществ также были оповещены о них:

На что здесь следует обратить внимание?

На IP-адрес сервера для сбора логов:

IP-адрес находится в Нидерландах

Дату компиляции ПО:

Эта дата означает, что софт никак не мог использоваться год назад

Наши дни

Завязка

10 февраля 2024 года в фермерских сообществах начала появляться информация о блокировках аккаунтов с CS2. Как позже выяснится, одним из факторов для получения блокировки являлся купленный у упомянутого ранее владельца панели аккаунт. Впрочем, конкретно это не имеет к истории никакого отношения.

Как и в октябре 2023 года, этой суматохой воспользовался скамер. Вечером того же дня с фейковых аккаунтов, вероятно, купленных на одном зеленом форуме, участникам фермерских сообществ стали поступать следующие сообщения:

Замечаете сходство? Снова это произошло после значимого для фермеров события, и снова кто-то начинает спамить в ЛС людям, имеющим отношение к фермерскому сообществу со странными предложениями.

Однако имелись и отличия от предыдущей атаки. В этот раз для участников каждого отдельного чата было предусмотрено отдельное сообщение. Так, в участникам чата панели, которая была обнаружена античитом VAC, рассылалось соответствующее сообщение.

Ожидание скама

Совершенно очевидно, что происходящее является только подготовкой к скаму. Об этом могут четко сказать следующие моменты:

способ "рекламы" - спам по целевой аудитории
комментарий в скриптах сайта

Терминология эта скамерская...

дата регистрации домена rentrally.org

Дата регистрации - 6 февраля, дата атаки - 10 февраля

слишком большое количество аккаунтов, указанное на сайте, которое не изменилось за день:

В среднем у одного фермера 250 аккаунтов

Одним словом, уже буквально все говорит о скаме, но до сих пор неясно, в чем он будет заключаться. Поэтому остается только подать заявку с фейкового аккаунта и ждать ответ:

В указанное время было получено сообщение с файлом, в котором якобы содержались данные от аккаунтов:

В качестве пароля использовался Telegram-никнейм

Анализируем файл

В этом разделе статьи будет показано, как анализировать
подобные файлы без виртуальной машины

Итак, потенциально вредоносный файл получен. Как узнать, что внутри?

1. Первым делом убедимся, что перед нами действительно архив. Для этого загрузим его на Яндекс.Диск:

Итак, это действительно архив, в котором содержится текстовый документ и папка с данными Steam Guard к ним. Уже тут можно заметить несколько странностей:

количество .maFile не совпадает с запрошенным ранее количеством аккаунтов;
Почти все SteamID, указанные в имени файлов, принадлежат неактивированным или несуществуюющим аккаунтам:

В папке с .maFile имеется подозрительный файл maFiles.scr:

К сожалению, Яндекс.Диск не отображает иконки файлов

2. Снимаем пароль с помощью любого онлайн-сервиса и загружаем архив без пароля снова на Яндекс.Диск, чтобы детальнее рассмотреть содержимое архива:

Файл с данными от аккаунтов содержит правдоподобые данные

Также мы можем скачать любой отдельный файл и посмотреть, что находится у него внутри. Для примера возьмем случайный maFile:

Выглядит как полностью валидный maFile, но есть несколько подозрительных моментов:

SteamID сессии не соответствует SteamID, указанному в имени файла;
Никнейма аккаунта нет в файле с данными аккаунтов.

Из всего этого можно сделать вывод, что отправка этого файла преследовала не те цели, что были заявлены сервисом RentRally. Поэтому самое время изучить подозрительный файл. И все становится ясно сразу же после его скачивания:

Так выглядит файл в Проводнике с включеным отображением расширений файлов

Итак, как же должна была выглядеть успешная атака:

Фермер, получивший спам-рассылку, заходит на сайт и отправляет заявку;
Скамер сообщает фермеру дату и время, когда фермер получит данные от аккаунтов и сможет приступить к отфарму;
После получения файла фермер распаковывает файл, и, не найдя нужного количества maFile, открывает вложенную папку, которая на самом деле является самораспаковывающимся архивом с вирусом [VirusTotal]. Социальная инженерия в деле.

При должной подготовке и выборе других способов привлечения жертв данный способ скама мог бы и сработать, но, к сожалению, все фермеры и админы фермерских чатов были предупреждены о скаме заранее и не теряли бдительности.

Начинаем нейтрализацию

Итак, схема понятна, теперь надо нейтрализовать скамера. Для этого продолжим распаковку архивов. Так как scr-файл в данном случае являлся самораспаковывающимся архивом, то, переименовав его в maFiles.sfx, мы можем распаковать его с помощью еще одного онлайн-сервиса:

Итак, внутри файла содержится bat-файл для запуска work.exe и сам work.exe. Cодержимое bat-файла подсказывает, что work.exe - очередной архив, так как WinRar, с помощью которого и был создан этот файл, поддерживает аргумент -p для распаковки архива сразу с паролем. Таким образом, пароль архива - riverdD

Повторяя предыдущий шаг, наконец-то получаем тот самый вредоносный файл, который нам нужен для изучения:

С помощью VirusTotal получаем необходимую информацию, а именно:

IP-адрес сервера для сбора логов 193.233.74.20

Принадлежность данного IP-адреса DpkgSoft Computers, Ltd., а также интервалу адресов, который арендует у DpkgSoft Computers, Ltd. некая компания ServShell:

С помощью Manalyzer узнаем язык, на котором был написан стиллер (Go), и все тот же IP-адрес:

Также с помощью специального инструмента можно узнать, что на этот IP-адрес привязан домен blockhain-services.uk:

Алиасом этого домена является fillaryfx.example.com:

На данный момент нам это ничего не говорит, но запомним данную информацию

Кульминация: кто стоял за скамом

Итак, мы узнали достаточно технической информации. Теперь самое время понять, кто организовал эту атаку. Есть несколько путей, которыми можно пойти:

Аккаунты, которые использовались для спама

Так как для спама использовались различные аккаунты (с никнеймами и без, с аватарками и без, с разными датами регистрации), можно сделать вывод, что это купленные аккаунты. Через них будет очень сложно найти скамера.

Аккаунты, которые были отправлены скамером

Неизвестно, каким IQ нужно обладать, чтобы отправить данные от настоящих аккаунтов, собираясь скамить. Однако проверить данные все-таки стоит.

Как и ожидалось, логины и пароли фейковые:

А вот с maFile крайне повезло - скамер не знал, какую информацию они содержат, и поэтому изменил только незначительную часть данных и оставив самые важные. Пройдясь по ним скриптом, получаем следующие данные:

огромный список фейковых SteamID;
два настоящих аккаунта, maFile которых использовались для генерации остальных (первый, второй). С их помощью была найдена часть фермы скамера, ссылки на которую можно найти в конце статьи;
два IP-адреса, с которых использовались аккаунты (95.164.61.13 и 82.45.55.248).

Даже обычные maFile могут дать необходимую информацию

К сожалению, эта информация также не помогает выяснить, кто стоит за скамом. Попробуем найти его другим способом.

Программист сайта

Так как программист принял меры к закрытию сайта и дополнительно предупредил фермерское сообщество, тем самым доказав свою непричастность к скаму, его данные будут замазаны

Так получилось, что прямо в коде сайта имелась ссылка на его создателя:

С его помощью удалось стриггерить настоящего скамера, спалив следующие аккаунты:

Сообщение с первого фейкового акка

Сообщения со второго фейкового акка

Ссылка на 3 фейковый акк от создателя сайта

Также благодаря тому, что скамер оставил отзывы сразу с двух аккаунтов одного зеленого форума, удалось узнать и остальные его данные:

Отзыв о верстке сайта

Связи одного профиля с другим

Отзыв о создании Telegram-бота для этого скама (никнейм fillaryfx)

Знакомая схема, не так ли?))

Хостинг-провайдер

С помощью некоторых манипуляций были получены контакты хостера, которому был задан один простой вопрос:

Пересланный ответ убил:

Больше информации

После внимательного изучения обоих профилей и нескольких фермерских чатов было обнаружено еще одно сходство:

Для того, чтобы было ясно, кто скрывается за удаленным аккаунтом:

В этом же чате были найдены и другие данные скамера:

Также, после того, как скам не удался, скамер решил продать свои аккаунты.

Лучше бы он этого не делал, так как благодаря всего одной ссылке была обнаружена вторая часть фермы, состоящая из 51 аккаунта:

Бонусом: ТЗ сайта, в котором нашлись баннеры из спама

Заключение

Арбитраж с баном, созданный при поддержке Фарм-Безопасности

Вместо многих слов здесь будет перечислена вся информация, имеющая отношение к скамеру.

Telegram-аккаунты

https://t.me/timeworklife (TG ID: 6531166467)
https://t.me/b1nd0x (TG ID: 6653270590, @careaboutmoney)
https://t.me/PRADAFAME (TG ID: 462095275)
https://t.me/givemedox (TG ID: 5789744234, @officialtelegramadministrator)
https://t.me/Huuseas (TG ID: 5598300546, удален)
https://t.me/RentRally (TG ID: 6795674243, удален)
https://t.me/RentRally_Manager4 (TG ID: 6746295922, заблокирован TG)
https://t.me/RentRally_Manager7 (TG ID: 6762774521, заблокирован TG)
https://t.me/fillaryfx (TG ID: 5391366766, удален)
https://t.me/fillary01 (TG ID: 6967052826)
https://t.me/uoooao18 (TG ID: 6790055096, @afoer401)
https://t.me/Infinity_Trin1ty (TG ID: 5861362386, удален)
https://t.me/pooeas0 (TG ID: 6770388757, @hooffer1)

Steam-аккаунты

Веселая ферма: часть 1

Веселая ферма: часть 2

Криптокошельки

TPWHa2T6BpnFS23ABRxKiQTmdtAeMLEdyK

Домены и IP-адреса

blockchain-services.uk - домен, привязанный к серверу для сбора логов

82.45.55.248 - основной IP скамера

95.164.61.13 - IP прокси-сервера

5.42.65.101 - IP сервера, куда уходили логи в 2023 году

193.233.74.20 - IP сервера, куда должны были уходить логи в 2024 году

80.66.85.144 - IP сервера, на котором до сих пор находится фишинговый сайт

© ФАРМ-БЕЗОПАСНОСТЬ

Инструкция по обнаружению фейкового SDA

2023-10-21T21:03:31.307Z

В этой статье расскажем о том, как проверить SDA на оригинальность, а также о том, что сделать, если ваш SDA неоригинальный и содержит стиллер.

Steam Desktop Authenticator (сокращенно SDA) - программа для генерации кодов Steam Guard на ПК, а также для подтверждения действий с аккаунтом (продажа игровых вещей на Торговой площадке, отправка обменов, смена пароля, почты и т. д.).

Существует только один оригинальный SDA - GitHub.

Проверить оригинальность SDA можно двумя способами - по косвенным признакам и с помощью сайтов по проверке файлов на вирусы.

Проверка по косвенным признакам

Существующие версии фейкового SDA обладают следующими признаками:

при попытке обновления SDA ничего не происходит (в оригинальном SDA появляется сообщение об использовании актуальной версии или наличии обновления);
в папке с SDA находится файл библиотеки Flurl:

Файлы Flurl.Http.dll, Flurl.dll (и иногда Flurl.xml)

в папке с SDA находится файл entry.json:

Файл entry.json

при просмотре свойств файла Steam Desktop Authenticator.exe версии выше 1.0.10 можно отметить несоответствие версий:

Фейковый SDA версии 1.0.11

Проверка с помощью сайтов

Для быстрой проверки можно воспользоваться сайтом Manalyzer. Для этого необходимо загрузить файл Steam Desktop Authenticator.exe на сайт и дождаться окончания проверки. Как только она завершится, появится информация о файле:

Результат проверки фейкового SDA версии 1.0.10

Если в разделе "Interesting strings found in the binary" появятся домены, не имеющие отношения к Steam, Microsoft и Github, то это сигнал о том, что ваш SDA - неоригинальный. В некоторых версиях фейковых SDA скамеры также использовали домен vcredistdownload.com, похожий на домен Microsoft, но на самом деле не имеющий ни малейшего отношения к данной компании.

Список доменов, обнаруженных в разных версиях фейкового SDA:

vcredistdownload.com
checkstatuselement.com
statestatuscheck.com
webstatuschecking.com

При проверке файла через VirusTotal обращайте внимание на раздел "Details" и проверяйте косвенные признаки. К сожалению, VirusTotal может не отображать указанные выше домены.

Несовпадение версии в фейковом SDA версии 1.0.14

Ссылка на библиотеку Flurl в фейковом SDA версии 1.0.14

Что делать, если SDA неоригинальный?

Все существующие версии фейкового SDA работают по одному и тому же принципу: данные об аккаунте собираются при импорте maFile, при привязке номера телефона к аккаунту, а также при обновлении сессии. Поэтому важно сделать следующие шаги:

заархивировать файлы фейкового SDA;
скачать оригинальный SDA и перенести файлы из скачанного архива в папку SDA с заменой;
зайти в аккаунт Steam через клиент, перейти в настройки аккаунта, затем в настройки Steam Guard и нажать на эту кнопку:

после этого сменить пароль на аккаунте и подтвердите смену через Steam Guard, используя оригинальный SDA, предварительно обновив сессию;
для максимальной безопасности рекомендуется перепривязать Steam Guard на аккаунте в настройках, сначала удалив его, а затем привязав заново (возможно, потребуется удалить номер телефона с аккаунта).

© ФАРМ-БЕЗОПАСНОСТЬ

Теги: Steam Desktop Authenticator, SDA

rexto + MV.Pro = SCAM

2023-10-16T17:36:09.133Z

В этой статье будут изложены факты, а также приведены некоторые размышления о том, что сейчас происходит с медийным проектом под названием Rexto.

Хайпанем немножечко

Кража скинов на 400.000 рублей

История начинается еще в ноябре 2022 года. Тогда впервые был зафиксирован инцидент с панелью rexto. Если очень кратко, то 28 октября 2022 года была установлена панель rexto:

А уже 2 ноября со скинами, хранящимися на аккаунтах, начали происходить интересные вещи:

часть скинов сливалась на Торговой площадке по автобаю:

часть скинов ушла на ботов Tradeit.gg:

часть скинов была продана на csgo.tm:

часть скинов ушла на аккаунты скамеров:

Полный список аккаунтов скамеров:

Для вывода криптовалюты использовались следующие кошельки:

TVeVL3t7Z3C7Gf5cu9uvGGU2zuocoP2Axs

0x6FBf9979E378A14e2269E5d5C0A4152E610990dC

С обоих кошельков все средства уходили на украинскую биржу WhiteBIT:

Общая сумма украденных скинов превысила 400.000 рублей на момент кражи.

Из основных предположений были следующие версии:

панель rexto (так как это был последний установленный софт);
взлом аккаунтов, так как они были куплены около 5 лет назад (и не у rexto);
эксплоиты или фейковая версия ASF.

Ни вторая, ни третья версия не подтвердились - не было похожих случаев. В первом же случае парочка похожих случаев нашлась, но в сентябре стало известно, что на ПК была установлена скам-версия SDA. Но как она там оказалась, если владелец ПК утверждает, что качал SDA по ссылке из описания видео Demon TV?

Есть очень большая вероятность, что к происходящему имеет отношение команда разработчиков rexto, чему в дальнейшем даны будут подтверждения.

Странности со фейковым SDA

Из-за того, что официальное расследование еще продолжается, информация о человеке, владеющим доменом сайта для сбора логов, будет скрыт.

Также, данный материал имеет отношение к другой статье, из-за чего здесь будет только самая необходимая информация.

Инструкция по проверке оригинальности SDA появилась не на пустом месте. Как оказалось, существует целых 2 группы фейковых SDA, принадлежащих, соответственно, разным группам людей.

В описанном случае был подменен SDA версии 1.0.10, а данные отправлялись на 2 связанных между собой домена - vcredistdownload.com и webstatuschecking.com.

После того, как об этом стало известно, началось официальное расследование, и по некоторым признакам стало понятно, что это попадание в яблочко - с доменов испарились регистрационные данные. Это лишь подтвердило, что настоящий администратор этих доменов, а, возможно, и фейковой версии SDA, найден.

Однако была одна странность - во всех фейковых SDA версии 1.0.10, которые удалось найти в поисковиках, фигурировали совершенно другие домены с другой датой регистрации. Также не совпадало время компиляции файлов, и некоторые другие детали.

Пока что пойдем дальше по хронологии, но держите эту информацию в голове, она пригодится позже.

Массовое восстановление аккаунтов 10 апреля 2023 года

Ночью 10 апреля 2023 года в чате rexto появляется следующее паническое сообщение:

Стоит отметить, что это фишка rexto - никогда ничего не публиковать о скаме в своем канале

После небольшого расследования выясняется, что были восстановлены не только аккаунты rexto. Была собрана небольшая конфа из пострадавших, среди которых, по странному совпадению, оказались только "работники криптовалюты" и одновременно пользователи rexto-панели:

Как наверняка сказал бы сейчас rexto,

Но тогда ситуация разрешилась довольно просто - с помощью простейшего сканера портов и просмотра исходного кода было выяснено следующее:

на сервере accs.email существует порт 3000, на котором поднят скрипт временной почты;
страницы accs.email ссылаются на ws.poso.city;

на сервере panel.poso.city также существует порт 3000, на котором также поднят скрипт временной почты
домен сайта был зарегистрирован в Латвии на некоего Павла Иванько

После того, как данные факты были установлены, об этом были немедленно уведомлены все пострадавшие, которые начали быстро перепривязывать аккаунты на свои почты. Стоит также отметить тот факт, что в апреле rexto активно помогал в восстановлении аккаунтов, хотя, возможно, это происходило по той причине, что зацепило и его аккаунты🤔

Но самое интересное заключается в другом - все пострадавшие пользовались панелью rexto, а восстановлены были не только его аккаунты, но и аккаунты, добавленные в панель. Причем о том, что это не обычный скам, говорит тот факт, что домены skr1pt.online и govno.email на тот момент не были зарегистрированы, а один из них rexto в тот день зарегистрировал на себя:

На всякий случай стоит отметить, что домен govno.email забрал себе hubatg:

Это говорит о том, что у того, кто пытался забрать себе аккаунты, был доступ к maFile-м, причем не только от аккаунтов, проданных rexto. Напомню, что все пострадавшие пользовались только панелью rexto, причем некоторые из них ставили панель на выделенный сервер.

Вспоминается еще одна интересная деталь. У одного из пострадавших как раз на выделенном сервере был обнаружен стиллер. Механизм его работы был очень прост - он копировал данные браузеров, системный ключ для расшифровки этих данных, а также данные некоторых криптокошельков, после чего отправлял их на сервер и удалялся.

К сожалению, сейчас чат с пострадавшими удален, но наверняка в комментариях под постом с этой статьей вы сможете найти некоторых из них

Только у этого конкретного человека программа, очевидно, вылетела с ошибкой, из-за чего просто физически не могла себя удалить. В подтверждение этих слов существует ссылка на VirusTotal, а также исходный код стиллера:

Чтобы не облегчать жизнь начинающим скамерам, тут будет только кусок кода

Код программы позволяет установить одну странность - домен для сбора логов зарегистрирован за 3 дня до того, как у rexto начали внезапно восстанавливать аккаунты. Учитывая, что для того, чтобы домен появился на всех DNS-серверах, нужен как минимум 1 день, указанный срок сокращается до 2 дней:

Прошло полгода

При подготовке к написанию этой статьи пришлось перечитать чат rexto за эти дни. И был обнаружен еще один человек, не замеченный ранее:

В этой статье вы уже видели нечто похожее, правда?)

UPDATE: Случай выше не имеет отношение к панели rexto.

А еще за полгода rexto успел изменить свою версию произошедшего в апреле, и то самое паническое сообщение теперь выглядит вот так:

Кто-то?)))) Стиллер?)))) НЕ МОЖЕТ БЫТЬ!!!))))

За этот же промежуток времени старый Discord-канал, в котором можно было найти даты обновлений панели, был удален, что в контексте произошедшего выглядит как банальное уничтожение доказательств:

Еще немного про аккаунты

Если вы думали, что на этом приколы с аккаунтами rexto закончились, то вы сильно ошиблись. Когда начались так называемые чистки проданных аккаунтов, выяснилось сразу несколько интересных деталей:

Непонятно, как после этого человек еще не потерял абсолютно всю свою репутацию

Также имеется предположение, что некоторые аккаунты rexto все же перепродаются повторно:

31 августа 2023 года аккаунты стримера Maxim Mixer получили блокировки. По этому поводу он обоснованно критиковал rexto, у которого купил аккаунты, мимо чего rexto пройти не мог:

Но при этом сам rexto предоставил доказательства того, что акки он действительно продал:

То, что произошло дальше, не укладывается ни в какие рамки приличия - за критику rexto фактически пригрозил сливом проданных аккаунтов:

UPDATE. Также имеется информация о том, что на некоторые почты, привязанные к проданным аккаунтам, привязывалось больше одного аккаунта:

Danlep / MV.Pro

Пришло время поговорить о том, кто же стоит за панелью rexto. Знакомьтесь, это команда человека, из-за панели которого в 2021 году сотни тысяч аккаунтов получили игровые блокировки - Danlep, он же владелец панели Mountain View.

Начнем непосредственно с него. В апреле 2022 года он делает в своей группе этот пост:

К сожалению, за давностью прошедших лет, а также из-за того, что домен никто не продлил, скачать данный архив невозможно. Зато, благодаря неизвестному человеку, у нас есть возможность оценить VirusTotal того, что было в этом архиве:

PanelOS.exe

Launcher.exe

HWIDGen.dll

Позднее danlep предоставил исходный код своей панели, но есть одна маленькая деталь - исходников лаунчера там нет:

Это наводит на мысль о том, что эти комментарии могут внезапно оказаться правдой:

Какое отношение он и его команда имеют к rexto?

Для того, чтобы выяснить, нужно рассказать историю их знакомства. Как оказалось, в свое время rexto был самым настоящим агентом техподдержки у danlepa, иначе информацию с этого скриншота и не объяснить:

Лоиснейка приплели))

Далее, имеется информация, что идея проекта Cloud Wave родилась еще в 2020 году. Вопрос - если тогда еще существовала панель MV Pro, зачем было создавать еще одну панель??

Ну и наконец, за продажу Cloud Wave в ВК отвечает Сергей Бондаревский, один из разработчиков панели Mountain View:

Кто еще имеет отношение к панели Cloud Wave?

Антон Санин (https://vk.com/ant.sanin)
Илья Краснов (https://vk.com/only_metall_only_hardcore)

5-6 рукопожатий, 7-8 миллионов

К чему вообще зашел разговор про кодеров MV.Pro? Все дело в том, что у каждого из них имеется определенная связь с человеком, который владел доменами, связанными с фейковым SDA:

Илья Краснов

Daniil Movchan

Anton Sanin

Но стоит заметить, что у rexto нет таких связей с этим человеком:

Сам Rexto

Из этого следует один нехороший вывод - вся команда MV.Pro могла быть в сговоре с человеком, на которого были оформлены домены, на которые приходила информация об аккаунтах из фейкового SDA.

Это косвенно подтверждает и информация от одного из пострадавших, которому разработчик настраивал панель через удаленный доступ и у которого в октябре были украдены аккаунты:

Раз уж речь зашла про разработчиков, можно немного пробежаться и по некоторым софтам, которые продавал / предоставлял rexto лично или через разработчиков.

Лутер, забаненный Google

Как наверняка известно большинству из вас, в панели Cloud Wave одно время был встроенный (хотя это слишком натянуто) лутер, написанный на Node.js. Но затем кое-кто из разработчиков решил, что это экономически невыгодно, и свет увидело это творение, которое позже также сыграет свою роль:

Как удалось выяснить, ответственным за работу и распространение этого лутера в Rexto-боте является некий Rostislav Potapov:

Само собой, этот лутер необходимо было скачать для проверки хотя бы на VirusTotal. Вот только при переходе по указанной ссылке всех ожидает сюрприз:

Это стало полной неожиданностью, поскольку Updater для панели rexto вполне спокойно лежит на Google.Диске и никто его не удаляет:

ОБРАТИТЕ ВНИМАНИЕ НА ТО, ЧТО ФАЙЛ ИЗ ЭТОЙ ПАПКИ НЕ СОВПАДАЕТ С ОРИГИНАЛЬНЫМ АПДЕЙТЕРОМ REXTO

Поэтому идем изучать Условия использования Google.Диска, и находим там этот пункт:

Второй неожиданностью стало то, что этот самый Rostislav Potapov "работал" бустером в группе панели Mountain View, а также активно помогал в ее разработке:

Третьей неожиданностью стало то, что именно его лутер используется для "чистки" проданных rexto аккаунтов:

А решающим фактором стал такой ответ на запрос информации о том, кто пользуется лутером в момент перекидывания вещей:

В чем секрет отсутствия детектов панели?

С первого взгляда кажется, что если в непосредственно исполняемом файле антивирусы не обнаружили никакой гадости, то этот файл может быть запущен и это не приведет ни к каким неприятным последствиям.

И действительно, у исполняемого файла CloudWaveIdle.exe 0 детектов:

Результат проверки Cloud Wave Idle в Virustotal

Однако обратите внимание, что под хэшем файла написано совершенно другое расширение файла. А что, если мы проверим этот файл, который, кстати, тоже присутствует в папке с панелью? О чудо, детекты начали появляться:

А теперь по такому же принципу исследуем то, что нам наиболее интересно, а именно - программу для обновления панелей:

Updater.exe

А также DLL:

Updater.dll

Теперь остается только принять тот факт, что у обычного апдейтера детектов в 7 раз больше, чем у файла панели. Но возникает вопрос - почему все так сложилось? Надеюсь, в ответной статье (если она, конечно, будет) найдутся внятные объяснения.

А теперь, после такого огромного количества информации, переходим к не менее огромному количеству информации о чистке проданных аккаунтов

Перед зачисткой

1 августа 2023 года в одной фермерской группе появляется пост о том, что основной аккаунт rexto получил игровую блокировку:

Стоит отметить, что даже это событие не было освещено rexto в его канале (было только несколько сообщений в чате), а о возможных причинах вы узнаете в разделах "Бонус 1" и "Чисти, чтобы чисто было"

Кстати, это доказательство того, что рексто сам пользуется этим лутером

Как вы можете заметить, некоторые скины он все-таки успел спасти, и скорее всего вывести в реал. А теперь представим, что денег с продажи этих скинов ему хватило на 2 месяца.

Бонус 1: повышаем уровень жести

Эта статья не могла обойтись без предварительного сбора информации. И в ходе него была обнаружена интересная деталь. На некоторых форумах rexto использует никнейм cody1997:

И на одном из таких форумов была обнаружена ссылка на фейковую страницу ВК:

При переходе на эту страницу открывается пустая группа с заблокированной страницой администратора в контактах:

После некоторых манипуляций обнаруживается вторая группа с другим аккаунтом, который связан с первым:

А название этой группы очень похоже на один никнейм в Telegram - garvilen.

Отмечаем тот факт, что он появился в чате rexto в день его создания:

А также то, что он активно участвовал в конфликте rexto со стримером:

Запомните эти скриншоты - они пригодятся дальше

Так как этот персонаж будет засвечен в следующей части статьи, можно дать дополнительную информацию о нем:

Это именно то, о чем вы подумали

Возможная причина отлета акков рексто в кт

Чисти, чтобы чисто было!

Начиная с 3 октября 2023 года с аккаунтов, проданных rexto, начинают таинственым образом исчезать скины:

И это только известные случаи. На одном из аккаунтов, куда уходили украденные скины, было куплено и полностью заполнено 10 хранилищ. Полный список аккаунтов, на которые отправлялись украденные скины:

Что же касается скомпрометированных аккаунтов, все они без исключения были проданы rexto. На этих аккаунтах были почты с доменами mail.ru, rambler.ru, govno.email и skr1pt.online. Некоторые из них могут показаться знакомыми, и действительно - домен одной из этих почт сейчас зарегистрирован на rexto.

А сейчас самое время вспомнить, как rexto отреагировал на похожую ситуацию в апреле, потому что сейчас rexto игнорирует проблему ПОЛНОСТЬЮ. Всё, на что его хватило - этот пост, который он выложил спустя 4 дня с начала скама в своем чате (опять не в канале):

Частично он прав, но есть парочка аргументов касательно того, почему никто не менял данные на почтах и аккаунтах:

до этого у rexto была безупречная репутация;
многие были уверены, что эти аккаунты зарегистрировал сам rexto, хоть и авторегером (и этому есть подтверждения, о них дальше);
при смене пароля на аккаунте не обеспечивается должная его безопасность. Для обеспечения полной безопасности нужно сбрасывать Steam Guard, и в таком случае теряется смысл от покупки аккаунта с MaFile.

А когда у rexto спросили, почему с проданных им аккаунтов начали исчезать вещи, он начал нести свою любимую ахинею про стиллеры, выдумывать различные предлоги, чтобы не предоставлять информацию о тех, кто продал аккаунты ему, и откровенно издеваться над своими клиентами:

И такому поведению прямо перед выходом статьи нашлось достойное объяснение: на многих аккаунтах, с которых крали вещи лутером rexto, нашлись обмены за 2021 - 2022 года, с аккаунтами кого бы вы думали? REXTO и его фейка/друга garvilen:

Список известных аккаунтов-хранилищ, на которые уходили скины в 2021 году:

Однако в последнем случае rexto знатно напиздел, потому что в августе были забанены исключительно его аккаунты, а, как можно заметить на скрине ниже, на упомянутом аккаунте блокировка выдана в тот же день, что и на основе rexto:

Теперь достоверно известно, что на многих аккаунтах rexto фармил лично, а значит, либо регал их сам, либо знает того, кто их ему регал. В обоих случаях причастность рексто к скаму очевидна. А сообщение от его друга/фейка только подтверждает это:

Вишенка на торте - аккаунты до сих пор продаются в боте:

А еще стоит обратить внимание на то, что некоторые акки rexto получили КТ в день получения остальными аккаунтами игровых блокировок:

Очевидно, КТ на этих аккаунтах выглядит как-то так:

Бонус 2: почему во всех скамах на 30% однозначно виноват rexto?

Во время другого расследования, кстати, тоже связанного с аккаунтами rexto, выяснилась одна очень любопытная деталь - rexto не имеет никакого отношения к продаваемым товарам, но зато охотно берет 30% с каждой продажи через бота:

Так как аккаунты регистрировались не им, то получается, что за аккаунты он получал все те же 30%. Вопрос - сколько процентов он получит от суммы украденных с этих аккаунтов скинов?)

Бонус 3 - арбитраж на rexto х2

Первый:

Второй:

UPDATE: Информация для арбитража:

UPDATE 2: Доп. информация для арбитража:

UPDATE 3: еще доп. информация для арбитража:

Уже заблокирован на форуме

Док-во, что телеграм принадлежит rexto

Группа из середины статьи

Бонус 4 - измененные реквизиты бота и совпадения

Достоверно известно, что в боте для оплаты товаров менялись реквизиты для оплаты в криптовалюте:

Реквизиты на момент написания статьи

Реквизиты 7 августа 2022 года

И по старому адресу мы видим следующие транзакции буквально через 10 дней после массового восстановления аккаунтов в апреле:

Видимо, это пришла доля с отработки🤡

Дополнение от 27.02.24

16 февраля 2024 года, при проверке профилей из специального списка, было обнаружено, что аккаунт, который был связан со скамом, получил игровую блокировку 6 дней назад (10 февраля 2024 года):

Что характерно, в этот же день прошла волна игровых блокировок аккаунтов, которые продавались Rexto. Из-за этого волну банов связали с его аккаунтами.

Это очередное доказательство того, что Rexto знает, кто именно занимается скамом, поскольку он продал скамеру и лутер, и аккаунты, на которые до сих пор принимается дроп с фермерских акков.

Итоги

Все выводы вы можете сделать сами, но обратите внимание на 3 вещи:

у пострадавших с личными взломанными аккаунтами была панель рексто;
у других пострадавших были аккаунты, которые продал рексто;
во всех случаях доступ к аккаунтам осуществлялся через MaFile.

Теги: rexto, rexto777, rexto1337, rexto_1337, cody1997, cody19971, garvilen, whitebit, mv.pro, CloudWave, Cloud Wave, idle, mafile, фейковый SDA, accs.email, govno.email, poso.city, skr1pt.online, стиллер, крипта, Mountain View, ant.sanin, only_metall_only_hardcore, CloudWaveLooter, CloudWave Looter, Cloud Wave Looter, rexandr, CloudWaveIdle, CloudWaveVertigo

INFINI / IDLEALERT / XLVLBOOST

2023-09-20T17:58:14.732Z

Скамерам не место в фермах

Специально для тех, кому эта фраза показалась знакомой - вам не показалось. А статьи с этого канала покажут, почему эта фраза прошла проверку временем.

А рассказ начнется с одного конкретного человека под ником xlvlboost

Первое появление

Данный человек появился в сфере ферм не самым красивым образом - он создал отдельный чат @idlealert . Сначала он хотел купить рекламу в пабликах:

Но по неизвестным причинам решил отказаться от этой идеи, и 9 мая начал с купленных Telegram-аккаунтов спамить в ЛС участникам чатов и каналов, администраторы которых отказали ему в рекламе, ссылками на свою группу:

Уже в этот момент стало понятно, что на него стоит обратить особое внимание, поскольку он использовал прием, популярный среди мошенников.

Проект INFINI

24 мая 2023 года в @MarketSteamBot появилось объявление такого содержания:

Очевидно, данная панель была создана из слитого кода печально известной панели TEDON'а (пруф), однако она и стоила дешевле, чем оригинал.

Чуть позже были найдены аккаунты "разработчика" этой панели, на которых тестировалась ее работа. На обоих этих акках уже были блокировки VAC:

Сейчас оба этих аккаунта удалены, но имеются доказательства наличия VAC-блокировок на указанных аккаунтах:

Через 5 дней эта же панель появляется в упомянутом выше канале @idlealert, что уже выглядит максимально подозрительно, учитывая, каким образом этот канал набирал подписчиков, а также наличие банов на аккаунтах разработчика.

Стоит отметить, что параллельно эта панель появилась на одном зеленом форуме, и продвигалась там с помощью розыгрышей, где откровенно врали об отсутствии банов.

А теперь разберемся, почему разработчик оказался заблокированным на одном зеленом форуме.

История о платных обновлениях

15 июня на одном зеленом форуме появился арбитраж (требование о возврате денег за товар) к создателю панели INFINI.

Радует уровень технической поддержки данной панели, который показан на этом скрине:

Таким образом, один из способов монетизации панели умер. А чтобы узнать, какие остались, необходимо было выяснить, кто является реальным владельцем этой панели.

Кто стоит за этими проектами

Узнать это не составило труда после того, как у панели появился свой сайт:

Стоит отметить, что это явно не лучший сайт в Интернете

Из-за низкого качества сайта, а также полного отсутствия закрытых разделов в нем, удалось выяснить следующее:

Реквизиты для оплаты появляются посредством загрузки индексной страницы сайта gamepaywallet.xyz (архив) через iframe;

Сейчас страница с оплатой удалена с сайта по понятным причинам, однако есть ее архивная версия

Реквизиты для оплаты (архив) совершенно неожиданно совпадают с реквизитами, указанными в разделе "Донаты" в канале @idlealert, хотя сайт панели INFINI и данный канал до этого были связаны только рекламой🤔;

Реквизиты для донатов из телеграм-канала

Реквизиты для оплаты доступа к панели

Страницы сайта gamepaywallet.xyz содержат ссылки на медиаресурсы упомянутой выше панели:

Здесь только ссылки на соц. сети панели INFINI

Таким образом, можно уверенно утверждать, что владелец канала @idlealert является также и владельцем панели INFINI. Остается только выяснить, ради чего ему пришлось пройти через весь этот геморрой.

Посредством некоторых манипуляций с имеющейся информацией (каких конкретно - секрет, чтобы эту самую информацию не удалили), получаем телефон с кодом +375, и ищем его в боте... конечно же нет) Все, что необходимо узнать, легко находится в интернете, а именно - пост от некоего Рыцаря Тьмы:

Увы, ссылки на пост не будет, потому что в нем есть номер телефона

Он очень опрометчиво оставил ссылку на обмен в своем посте. А ведь с ее помощью очень легко узнать ссылку на профиль, даже если ссылка на обмен изменилась. Записывайте, что нужно сделать:

скопировать цифры между partner= и &token=;
добавить перед цифрами [U:1: и ] после них;
добавить получившуюся конструкцию к ссылке на любой профиль Steam;

В результате получаем следующую ссылку:

https://steamcommunity.com/profiles/[U:1:1041540944]

А теперь смотрим, чей же профиль нам открывается:

Кстати, этот же профиль получается и в случае с ссылкой для донатов из TG-канала😎

Пока что достаточно запомнить более ранние никнеймы этого профиля, и продолжать проверку профиля ВК.

Ищем в любом поисковике короткую ссылку профиля ВК (asasinalex), и результаты получаются мягко говоря неожиданными:

Изучаем зеленый форум

Переходим к теме, и сразу замечаем, что ее автор заблокирован:

А после перехода в профиль автора темы остается только о***вать от суммы арбитража:

Впрочем, стоит учитывать и остальные:

Из данных сообщений следует, что автор темы занимался так называемой "продажей логов" - данных, похищенных с ПК других людей. Осуждаем такое всей службой безопасности.

Изучаем серый форум

Казалось бы, что после скама на 50.000 рублей удивляться уже нечему. Однако история сообщений с одного серого форума доказывает обратное:

Как мы уже убедились по сообщениям с зеленого форума, телеграм с этим никнеймом принадлежит тому же человеку, что и профиль ВК

И самое интересное и актуальное:

120 зомби, все понятно

XP Booster

Уже после начала подготовки данной статьи в канале @idlealert появился интересный пост:

Интересен он прежде всего тем, что продаваемая панель принадлежит совершенно другому разработчику (который не заплатил за рекламу), а это значит, что продается взломанная версия панели. Очевидно, что "некроманту" необходимо больше "зомби".

🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡

Пояснение от разработчика

Контакты чисто для информации

Вердикт

Суммируя всю предоставленную информацию, можно утверждать, что канал @idlealert, панель INFINI, а также кряк панели неназванного разработчика создавались с целью последующего заражения ПК пользователей какой-нибудь "полезной нагрузкой", предположительно, в виде майнера.

Об этом свидетельствуют следующие факты:

ужасно огромное количество детектов панели от антивирусов:

прошлое владельца проекта, полное скама;
уменьшение количества способов монетизации взломанного софта;
сбор статистики об аккаунтах, чего, по заявлениям разработчика панели, не будет в его панели:

Рекомендации:

воздержаться от использования данной панели;
сбросить аккаунты: перепривязать Steam Guard, сменить пароли.