2023年1月29日、fbiはサイバー犯罪に関連する有名なハッキングフォーラムであるクラックドアイオー（Cracked.io）とナールドトゥ（Nulled.to）のドメインを押収しました。この措置は「オペレーション・タレント」と呼ばれる国際的な法執行行動の一環で、アメリカ、イタリア、スペイン、フランス、オーストラリア、ルーマニアなどの当局が協力して実施されています。

このドメインの押収は、サイバー犯罪、パスワードの盗難、クラッキング、認証情報の詰め込み攻撃に焦点を当てたもので、押収発表には「このウェブサイト、さらには顧客と被害者に関する情報は、国際的な法執行機関のパートナーによって押収されました」と記載されています。

クラックドアイオーのスタッフは、Telegramでの声明で、ドメインが押収されたことを確認しました。「状況についてより明確になったので、クラックドアイオーはオペレーション・タレントに基づいて押収されたことをお知らせします。具体的な理由は非公開です」とのことです。今後、データセンターおよびドメインホストから正式な裁判文書を受け取った際に、さらなる詳細をお知らせするとしています。

ウェブブラウザでこれらのサイトを開こうとすると、「Error 1000. DNS points to prohibited IP」や「Error 1016. Origin DNS error」のメッセージが表示されます。fbiは、これらのフォーラムのドメインを押収し、以前のCloudflareのネームサーバーから、ns1.fbi.seized.govおよびns2.fbi.seized.govに変更しました。

クラックドアイオーのスタッフは、データセンターの問題が原因でサービスがオフラインになっていると先に述べ、「データセンターに活発な問題があり、スタッフが対処中であるため、問題が解決されるまでサービスはオフラインのままです」とコメントしています。

この押収の背景には、認証情報の詰め込み攻撃や盗まれたアカウントの認証情報に関与するプラットフォームへの取り締まりが進められているとされています。さらなる情報が公開される予定ですが、今のところ法執行機関からの公式発表はありません。

仮想通貨やセキュリティに関わるコミュニティにも影響を及ぼすこの動きは、サイバー犯罪を取り締まるための大きな一歩となることが期待されています。また、専門家は、サイバー犯罪者への法的な圧力が強まることで、犯罪行為が減少する可能性があると指摘しています。今後の展開に注目です。

捜査機関によると、容疑者たちは大規模なフィッシングキャンペーンを実施し、電話やオンラインで金融データへのアクセスを試みると同時に、警察や銀行の職員を偽って、高齢者の居宅を訪問していました。

サイバー犯罪の戦術は、メールやSMS、WhatsAppを介してフィッシングメッセージを送信し、受信者にリンクをクリックさせてログイン情報やその他の情報を取得するものでした。他にも、銀行を装った犯罪者が、アカウントに不正な活動があったと伝え、問題を解決するために助けを提供すると言って、被害者に接触している事例もありました。

この電話詐欺は、高級住宅タワーやAirbnbの住居に設置されたコールセンターのネットワークによって支えられていました。押収された金銭は、スペインへの贅沢なバカンスの予約や、ディオール、ルイ・ヴィトン、ロレックスなどのブランドからの高額な時計、宝石、靴、デザイナー衣類の購入に使用されていたとされています。

被害者は少なくとも10カ国に広がり、詐欺グループはフィッシングと銀行ヘルプデスク詐欺で数百万ドルの違法利益を上げていました。

この摘発は、2022年にベルギー当局が開始した調査を受けて、翌年にオランダ警察によって突き進められたものです。逮捕された4人の容疑者は、23歳から66歳の男性3人と女性1人で、ザルトボンメル、アルメレ、アメルスフォールト、ロッテルダムからの市民でした。さらに、国際逮捕状に基づき、ベルギーで5人目の容疑者も逮捕されています。

ロッテルダム警察サイバー犯罪チームのヤン・ファン・デル・リンデン氏は、「被害者たちは苦痛にさらされる一方で、容疑者たちは高級クラブでパーティを開き、高級衣料や高級時計を身にまとってすべての被害者の金を使っていました。また、彼らの贅沢なライフスタイルをSNSでも見せびらかすのが好きでした」と述べています。

収集されたデータはアーカイブされ、攻撃者に送信されます。この情報はさらなる攻撃に利用されたり、サイバー犯罪マーケットで販売されたりします。過去1ヶ月間で、脅威役者たちはEditProというAI動画および画像編集アプリの偽サイトを作成し、検索結果やX（旧Twitter）上の広告で拡散しました。その中には、バイデン大統領とトランプ元大統領がアイスクリームを楽しむ深層偽装動画が含まれています。

これらの画像をクリックすると、EditProAIアプリケーションの偽サイトに誘導されます。特に、editproai[.]proというサイトはWindows向けのマルウェアを、editproai[.]orgはmacOS用のマルウェアを配布するために作られました。これらのサイトは見た目が非常にプロフェッショナルで、クッキーバナーも表示されているため、信頼性があるように見えます。しかし、「Get Now」リンクをクリックすると、EditProAIアプリとして偽装された実行ファイルがダウンロードされます。Windows用ファイルは「Edit-ProAI-Setup-newest_release.exe」と呼ばれ、macOS用は「EditProAi_v.4.36.dmg」と名付けられています。

このWindowsマルウェアは、ソフトウェア開発者から盗まれたと思われるコード署名証明書によって署名されています。g0njxaというサイバーセキュリティ研究者によれば、マルウェアは「proai[.]club/panelgood/」というサイトを通じて盗まれたデータを送信しており、攻撃者は後でこの情報を回収できます。AnyRunのレポートでは、Windowsバリアントの実行が検出され、Lumma Stealerとして特定されています。

もしこのプログラムを過去にダウンロードした場合、保存していたすべてのパスワードや暗号通貨ウォレット、認証情報が侵害された可能性があるため、すぐにそれらの情報をすべてリセットすることをお勧めします。それぞれのサイトでユニークなパスワードを使用し、特に暗号通貨取引所やオンラインバンキング、メールサービスといった重要なサイトには多要素認証を有効にしてください。情報盗難マルウェアはここ数年で大きな成長を遂げており、脅威役者たちは大規模なオペレーションを展開しています。