Milhares de pedófilos que baixam e compartilham material de abuso sexual infantil (CSAM) foram identificados por meio de registros de malware para roubo de informações vazados na dark web, destacando uma nova dimensão do uso de credenciais roubadas em investigações policiais.
O uso inovador do conjunto de dados foi conduzido pelo Insikt Group da Recorded Future, que compartilhou um relatório explicando como eles identificaram 3.324 contas exclusivas que acessaram portais ilegais conhecidos por distribuir CSAM.
Ao aproveitar outros dados roubados do alvo, os analistas da Insikt conseguiram rastrear essas contas até nomes de usuários em várias plataformas, derivar seus endereços IP e até mesmo informações do sistema.
Essas informações coletadas pelo Insikt Group foram compartilhadas com as autoridades policiais para desmascarar as identidades desses indivíduos e proceder às prisões.
Usando logs de ladrões para o bem
Um log de ladrão é uma coleção de dados roubados de um indivíduo específico por malware que rouba informações, como Redline, Raccoon e Vidar, de sistemas infectados.
Quando esses tipos de malware são executados em um dispositivo, eles coletam credenciais, histórico do navegador, cookies do navegador, dados de preenchimento automático, informações da carteira de criptomoedas, capturas de tela e informações do sistema.
As informações são então empacotadas em um arquivo chamado “log”, que é então transmitido de volta aos servidores do agente da ameaça.
Os agentes de ameaças podem então usar essas credenciais roubadas para violar outras contas, conduzir ataques corporativos ou vendê-las a outros criminosos cibernéticos na dark web, Telegram e outras plataformas. Devido ao seu tamanho e número, esses logs raramente são examinados e categorizados, mas sim vendidos em massa.
Análises anteriores mostraram que os registros de roubo de informações podem conter dados cruciais de contas comerciais ou credenciais de contas que podem expor informações proprietárias.
Como esse tipo de malware é comumente distribuído por meio de software pirateado, malvertising e atualizações falsas, eles podem desviar dados de sistemas infectados por longos períodos sem que a vítima perceba.
Isso inclui usuários de CSAM que, sem seu conhecimento, expõem todas as credenciais de suas contas bancárias on-line, e-mail e outras contas legítimas, bem como as credenciais de conta usadas para acessar sites de CSAM que exigem registro.
Identificando consumidores de CSAM
Os analistas do Insikt usaram logs do Infostealer capturados entre fevereiro de 2021 e fevereiro de 2024 para identificar consumidores de CSAM por meio de referência cruzada de credenciais roubadas com vinte domínios de CSAM conhecidos.
Eles então removeram duplicatas para reduzir os resultados a 3.324 pares exclusivos de nome de usuário e senha.
Como o malware que rouba informações rouba todas as credenciais salvas em um navegador, os pesquisadores conseguiram vincular os titulares de contas CSAM às suas contas online legais, como e-mail, serviços bancários, compras online, operadoras de celular e mídias sociais.
Eles então usaram inteligência de código aberto (OSINT) e artefatos digitais para reunir informações mais reveladoras sobre esses usuários. Essas pistas incluem:
- Endereços de carteiras de criptomoedas e históricos de transações.
- Contas da web e histórico de navegação não relacionados a CSAM.
- Endereços físicos, nomes completos, números de telefone e endereços de e-mail extraídos de dados de preenchimento automático do navegador.
- Associações com vários serviços on-line, como contas de mídia social, sites governamentais e portais de candidatura a empregos.
O relatório da Recorded Future destaca três casos de indivíduos identificados, resumidos da seguinte forma:
- “idiota” – Residente de Cleveland, Ohio, condenado anteriormente por exploração infantil e registrado como criminoso sexual. Mantém contas em pelo menos quatro sites CSAM.
- “aprendido” – Residente de Illinois que é voluntário em hospitais infantis e tem um histórico de furto no varejo. Mantém contas em nove sites de CSAM.
- “Berty (Borracha)” – Provavelmente um estudante venezuelano que mantém contas em pelo menos cinco sites de CSAM. O histórico de transações de criptomoedas implica o usuário com a potencial compra e distribuição de conteúdo de CSAM.
A análise da Insinkt destaca o potencial dos dados do infostealer em ajudar as autoridades policiais a rastrear o abuso infantil e processar indivíduos.