Le pirate informatique présumé « Dr HeX » arrêté pour 9 ans d’hameçonnage

Un Marocain soupçonné d’être « Dr HeX » – l’acteur prolifique qui a opéré pendant neuf ans et ciblant des milliers de victimes par hameçonnage, dégradation de sites Web, développement de logiciels malveillants, fraude et cardage – a été arrêté.

Interpol a annoncé l’arrestation du suspect – qui a eu lieu au Maroc en Mai – décrivant l’opération comme le résultat d’une enquête conjointe de deux ans baptisée Opération Lyrebird qui a vu Interpol travailler en étroite collaboration avec la police marocaine et la société de sécurité Group-IB.

Le suspect anonyme aurait aidé à développer des kits de fidélisation et d’hameçonnage à vendre sur des forums en ligne criminels. Un exemple de site de cardage est Joker’s Stash, qui a été supprimé en Décembre. C’était une destination populaire spécialisée dans le commerce des données de cartes de paiement, offrant aux acheteurs des millions de cartes de crédit et de débit volées.

Comme décrit dans l’annonce d’Interpol, les acheteurs des kits de cardage et d’hameçonnage de Dr HeX les ont utilisés pour se faire passer pour des services bancaires en ligne, permettant au suspect et à d’autres « de voler des informations sensibles et d’escroquer des individus à des fins financières. Les pertes des individus et de sociétés sont publiées en ligne afin de faire la publicité des services malveillants.

Nous avons vu un exemple du fonctionnement de l’économie du cardage en Octobre, lorsque la franchise de viande fumée Dickey’s Barbecue Pit a vu 3 millions de cartes de paiement client apparaître sur le site. Toute personne achetant les informations pourrait créer des cartes clonées à utiliser physiquement dans les guichets automatiques ou dans les machines en magasin qui ne sont pas activées par puce ; ou, ils peuvent simplement utiliser les informations pour acheter des choses en ligne.

dr hex

Selon un article de Group-IB, le suspect aurait été impliqué dans des attaques contre 134 sites Web au cours des neuf dernières années, de 2009 à 2018, laissant son surnom « Dr HeX » sur les pages Web attaquées. Dr HeX n’était que l’un des surnoms que le suspect aurait utilisés, mais c’est celui que la société de sécurité a choisi pour surnommer le pirate informatique qu’elle a identifié.

Extraire une identité depuis un kit d’hameçonnage

Le point de départ de la quête des chercheurs du Groupe-IB pour retrouver et démasquer Dr HeX a été l’extraction d’un kit d’hameçonnage, qui est un outil utilisé pour créer des pages Web d’hameçonnage. Ce kit d’hameçonnage était utilisé pour imiter la marque d’une grande banque française, selon leur article.

Le kit d’hameçonnage utilisait une configuration typique, ont-ils décrit : Il comprenait « la création d’un site Web falsifié d’une entreprise ciblée, la distribution massive d’e-mails se faisant passer pour l’entreprise et demandant aux utilisateurs de saisir des informations de connexion sur le site falsifié. Les informations d’identification laissées par des victimes sur la fausse page ont ensuite été redirigées vers l’e-mail de l’agresseur.

Presque tous les scripts contenus dans le kit d’hameçonnage étaient signés avec la signature de leur créateur, Dr HeX, et avaient une adresse e-mail de contact.

Dr HeX a beaucoup aimé ce surnom : les chercheurs du Groupe-IB ont découvert que la chaîne YouTube de l’attaquant présumé portait le même nom. Dans l’une des vidéos YouTube de sa chaîne, l’attaquant a également laissé un lien menant à une plateforme de financement participatif arabe. Cela a donné aux chercheurs de Group-IB un autre indice concernant le cybercriminel présumé.

Le nom a également été utilisé pour enregistrer « au moins » deux domaines créés avec l’e-mail trouvé dans le kit d’hameçonnage, a déclaré Group-IB.

En se basant sur l’adresse e-mail du kit d’hameçonnage, les chercheurs ont identifié d’autres éléments de l’infrastructure malveillante de l’acteur malveillant ; cinq adresses e-mail étaient associées au suspect ; un total de six surnoms; et puis il y avait ses comptes sur Facebook, Instagram, Skype et YouTube.

Entre 2009 et 2018, les analystes ont découvert que Dr HeX avait dégradé plus de 130 pages Web. Ils ont également découvert les publications du cybercriminel « sur plusieurs plates-formes souterraines populaires destinées au commerce de logiciels malveillants qui indiquent l’implication de ce dernier dans le développement de logiciels malveillants », selon Group-IB. Les analystes ont également trouvé des preuves qui pourraient lier Dr HeX à des attaques contre « plusieurs grandes entreprises françaises » dans le but de « voler les données de carte bancaire du client ».

Le message de Group-IB citait Stephen Kavanagh, directeur exécutif des services de police d’Interpol, qui a qualifié l’opération Lyrebird de « succès significatif contre un suspect accusé d’avoir ciblé des individus et des entreprises dans plusieurs régions pendant des années ».

« L’affaire met en évidence la menace posée par la cybercriminalité dans le monde », a poursuivi Kavanagh. « L’arrestation de ce suspect est due à un travail d’enquête international exceptionnel et à de nouveaux modes de collaboration, à la fois avec la police marocaine et nos partenaires vitaux du secteur privé tels que Group-IB. »

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire