Les autorités chargées de l’application des lois avec Interpol ont appréhendé un acteur malveillant responsable d’avoir ciblé des milliers de victimes involontaires sur plusieurs années et d’avoir organisé des attaques de logiciels malveillants contre des sociétés de télécommunications, de grandes banques et des sociétés multinationales en France dans le cadre d’un programme mondial de phishing et de fraude par carte de crédit.

L’enquête de deux ans, baptisée Opération Lyrebird par l’organisation internationale intergouvernementale, a abouti à l’arrestation d’un citoyen marocain surnommé Dr HeX, a révélé aujourd’hui la société de cybersécurité Group-IB dans un rapport partagé avec The Hacker News.

Le Dr HeX serait « actif depuis au moins 2009 et est responsable d’un certain nombre de cybercrimes, notamment le phishing, la dégradation, le développement de logiciels malveillants, la fraude et le cardage qui ont fait des milliers de victimes sans méfiance », la cybersécurité l’entreprise a dit.

Les cyberattaques impliquaient le déploiement d’un kit de phishing composé de pages Web qui usurpaient les entités bancaires du pays, suivi de l’envoi d’e-mails en masse imitant les entreprises ciblées, incitant les destinataires des e-mails à saisir des informations de connexion sur le site Web malveillant.

Les informations d’identification saisies par des victimes sans méfiance sur la fausse page Web ont ensuite été redirigées vers l’e-mail de l’agresseur. Au moins trois kits de phishing différents vraisemblablement développés par l’acteur de la menace ont été extraits.

Les kits de phishing ont également été « vendus à d’autres personnes via des forums en ligne pour leur permettre de faciliter des campagnes malveillantes similaires contre les victimes », Interpol mentionné dans un rapport. « Ceux-ci ont ensuite été utilisés pour usurper l’identité d’installations bancaires en ligne, permettant au suspect et à d’autres de voler des informations sensibles et d’escroquer des individus de confiance à des fins financières, les pertes d’individus et d’entreprises étant publiées en ligne afin de faire la publicité de ces services malveillants. »

Les scripts inclus dans le kit de phishing contenaient le nom Dr HeX et l’adresse e-mail de contact de la personne, à l’aide de laquelle le cybercriminel a finalement été identifié et désanonymisé, découvrant ainsi une chaîne YouTube ainsi qu’un autre nom utilisé par l’adversaire pour enregistrer au moins deux domaines frauduleux qui ont été utilisés dans les attaques.

De plus, Group-IB a déclaré qu’il était également en mesure de mapper l’adresse e-mail à l’infrastructure malveillante utilisée par l’accusé dans diverses campagnes de phishing, dont cinq adresses e-mail, six surnoms et ses comptes sur Skype, Facebook, Instagram , et YouTube.

Au total, l’empreinte numérique du Dr Hex a laissé une trace révélatrice d’activités malveillantes sur une période s’étendant entre 2009 et 2018, au cours de laquelle l’acteur de la menace a dégradé pas moins de 134 pages Web, ainsi que des publications créées par l’attaquant sur différents forums souterrains. consacré au commerce de logiciels malveillants et des preuves suggérant son implication dans des attaques contre des entreprises françaises pour voler des informations financières.

« Le suspect, en particulier, faisait la promotion du soi-disant Zombi Bot, qui contiendrait 814 exploits, dont 72 privés, un forceur brut, un webshell et des scanners de porte dérobée, ainsi que des fonctionnalités pour mener des attaques DDoS », Group-IB CTO Dmitry Volkov a déclaré à The Hacker News.