俄羅斯語系的瘋狂邪惡團(tuán)伙操縱10余種社交媒體詐騙，誘騙受害者安裝StealC、AMOS和Angel Drainer惡意軟件。

自2021年以來，瘋狂邪惡團(tuán)伙已成為一個(gè)主要的網(wǎng)絡(luò)犯罪集團(tuán)，利用網(wǎng)絡(luò)釣魚、身份欺詐和惡意軟件竊取加密貨幣。

團(tuán)伙結(jié)構(gòu)與作案手法

安全專家識(shí)別出瘋狂邪惡團(tuán)伙的六個(gè)子團(tuán)隊(duì)，分別名為AVLAND、TYPED、DELAND、ZOOMLAND、DEFI和KEVLAND，這些團(tuán)隊(duì)針對(duì)特定受害者群體實(shí)施定向詐騙。

該團(tuán)伙的領(lǐng)導(dǎo)者是一位在Telegram上以“Abraham”@AbrahamCrazyEvil為名的威脅行為者。他們的武器庫包括多種惡意軟件，如針對(duì)Windows和macOS的Stealc和AMOS信息竊取軟件。

Insikt Group的報(bào)告指出：“Insikt Group已發(fā)現(xiàn)超過十種活躍的詐騙活動(dòng)，包括Voxium和Rocket Galaxy，利用定制化的誘餌欺騙受害者。瘋狂邪惡團(tuán)伙明確針對(duì)加密貨幣用戶和影響者，使用定制的魚叉式網(wǎng)絡(luò)釣魚誘餌。”

瘋狂邪惡團(tuán)伙被稱為“流量團(tuán)隊(duì)”，這是一群社會(huì)工程專家，負(fù)責(zé)將合法流量重定向到惡意登錄頁面。

目標(biāo)與收益

該團(tuán)伙針對(duì)高價(jià)值受害者，也稱為“猛犸象”，進(jìn)行數(shù)字資產(chǎn)盜竊，包括加密貨幣、支付卡、在線銀行賬戶和非同質(zhì)化代幣（NFT）。自2021年活躍以來，該團(tuán)伙在其公開的Telegram頻道CrazyEvilCorp上積累了超過3000名關(guān)注者。截至2024年12月2日，與瘋狂邪惡相關(guān)的欺詐活動(dòng)仍在進(jìn)行中。

自2021年以來，瘋狂邪惡團(tuán)伙通過網(wǎng)絡(luò)釣魚詐騙已獲利超過500萬美元。受害者的損失從0.10美元到超過100,000美元不等，取決于運(yùn)氣和持久性。

招募與培訓(xùn)

瘋狂邪惡團(tuán)伙積極招募附屬成員，宣傳其網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)，并設(shè)定特定技能要求。申請(qǐng)人必須精通操作完全不可檢測（FUD）的信息竊取軟件，適用于Windows和macOS，以及通過地址中毒等策略操縱硬件加密貨幣錢包。申請(qǐng)人必須能夠針對(duì)Ledger和Trezor設(shè)備。此外，新成員應(yīng)具備各種FUD漏洞利用的經(jīng)驗(yàn)，盡管這些技術(shù)的細(xì)節(jié)尚不明確。

部署加密貨幣錢包排水器和設(shè)置網(wǎng)絡(luò)釣魚登錄頁面的專業(yè)知識(shí)也受到高度重視。為了適應(yīng)經(jīng)驗(yàn)不足的網(wǎng)絡(luò)犯罪分子，瘋狂邪惡團(tuán)伙提供培訓(xùn)材料，并為新手分配經(jīng)驗(yàn)豐富的導(dǎo)師（即“策展人”），指導(dǎo)他們參與團(tuán)伙的非法操作。這種結(jié)構(gòu)化方法展示了該團(tuán)伙努力維持一個(gè)訓(xùn)練有素且高效的流量團(tuán)隊(duì)網(wǎng)絡(luò)。

持續(xù)威脅與內(nèi)部風(fēng)險(xiǎn)

該網(wǎng)絡(luò)犯罪團(tuán)伙專注于針對(duì)Web3和去中心化金融行業(yè)。該團(tuán)伙在暗網(wǎng)論壇上保持強(qiáng)大存在，并與其他網(wǎng)絡(luò)犯罪團(tuán)伙和惡意軟件開發(fā)者合作。這些因素使其成為持續(xù)的網(wǎng)絡(luò)威脅。

然而，像許多網(wǎng)絡(luò)犯罪集團(tuán)一樣，其最大的弱點(diǎn)是內(nèi)部沖突。隨著其規(guī)模和復(fù)雜性的增長，退出詐騙和分裂的風(fēng)險(xiǎn)也隨之增加，這在過去的團(tuán)體中已經(jīng)出現(xiàn)過。

報(bào)告總結(jié)道：“像瘋狂邪惡這樣的威脅團(tuán)體對(duì)識(shí)別和破壞具有彈性——其運(yùn)營的最大威脅來自內(nèi)部沖突。當(dāng)像瘋狂邪惡這樣的威脅團(tuán)體成員增加并擴(kuò)大運(yùn)營時(shí)，退出詐騙和分裂更可能成為其垮臺(tái)的原因，正如Marko Polo和CryptoLove所見。”報(bào)告還包括了妥協(xié)指標(biāo)（IoCs）。