Tausende von Pädophilen, die Material über sexuellen Kindesmissbrauch herunterladen und weitergeben, wurden durch Malware-Protokolle identifiziert, die Informationen stehlen und im Dark Web veröffentlicht wurden.
Die neuartige Nutzung des Datensatzes wurde von der Recorded Future's Insikt Group durchgeführt, die in einem Bericht erläuterte, wie sie 3.324 einzigartige Konten identifizierte, die auf illegale Portale zugriffen, die für die Verbreitung von CSAM bekannt sind.
Durch die Nutzung anderer von der Zielperson gestohlener Daten konnten die Analysten von Insikt diese Konten auf verschiedenen Plattformen zu Benutzernamen zurückverfolgen, ihre IP-Adressen und sogar Systeminformationen ableiten.
Diese von der Insikt-Gruppe gesammelten Informationen wurden an die Strafverfolgungsbehörden weitergegeben, um die Identitäten dieser Personen zu entlarven und Verhaftungen vornehmen zu können.
Stählerne Protokolle für gute Zwecke nutzen
Ein Stealer-Protokoll ist eine Sammlung von Daten, die von einer bestimmten Person durch Malware gestohlen wurden, die Informationen von infizierten Systemen stiehlt, wie z. B. Redline, Raccoon und Vidar.
Wenn diese Art von Malware auf einem Gerät ausgeführt wird, sammelt sie Anmeldeinformationen, den Browserverlauf, Browser-Cookies, Autofill-Daten, Informationen über die Kryptowährungs-Geldbörse, Screenshots und Systeminformationen.
Die Informationen werden dann in ein Archiv, ein so genanntes "Log", gepackt, das dann an die Server des Bedrohungsakteurs zurückgesendet wird.
Bedrohungsakteure können diese gestohlenen Anmeldedaten dann verwenden, um in weitere Konten einzudringen, Unternehmensangriffe durchzuführen oder sie an andere Cyberkriminelle im Dark Web, auf Telegram und anderen Plattformen zu verkaufen. Aufgrund ihrer Größe und Anzahl werden diese Protokolle selten untersucht und kategorisiert, sondern in großen Mengen verkauft.
Frühere Analysen haben gezeigt, dass die Protokolle von Informationsdieben wichtige Geschäftskontodaten oder Zugangsdaten zu Konten enthalten können, die geschützte Informationen preisgeben.
Da diese Art von Malware in der Regel über raubkopierte Software, Malvertising und gefälschte Updates verbreitet wird, kann sie über einen längeren Zeitraum Daten von infizierten Systemen abziehen, ohne dass das Opfer dies bemerkt.
Dazu gehören CSAM-Benutzer, die ohne ihr Wissen alle Anmeldedaten für ihr Online-Banking, ihre E-Mail und andere legitime Konten sowie die Anmeldedaten für den Zugriff auf CSAM-Seiten, die eine Registrierung erfordern, preisgeben.
Identifizierung von CSAM-Kunden
Die Analysten von Insikt nutzten Infostealer-Protokolle, die zwischen Februar 2021 und Februar 2024 aufgezeichnet wurden, um CSAM-Kunden zu identifizieren, indem sie die gestohlenen Anmeldedaten mit zwanzig bekannten CSAM-Domänen verglichen.
Anschließend wurden Duplikate entfernt, um die Ergebnisse auf 3.324 eindeutige Benutzername-Passwort-Paare einzugrenzen.
Da Malware, die Informationen stiehlt, alle in einem Browser gespeicherten Anmeldeinformationen stiehlt, waren die Forscher in der Lage, CSAM-Kontoinhaber mit ihren legalen Online-Konten zu verknüpfen, z. B. E-Mail, Banking, Online-Shopping, Mobilfunkanbieter und soziale Medien.
Anschließend nutzten sie Open-Source-Intelligence (OSINT) und digitale Artefakte, um weitere aufschlussreiche Informationen über diese Nutzer zu sammeln. Zu diesen Hinweisen gehören:
- Kryptowährungs-Wallet-Adressen und Transaktionshistorien.
- Nicht-CSAM-Webkonten und Browserverlauf.
- Physische Adressen, vollständige Namen, Telefonnummern und E-Mail-Adressen, die aus den Autofill-Daten des Browsers extrahiert wurden.
- Verknüpfungen mit verschiedenen Online-Diensten, z. B. Konten in sozialen Medien, Websites von Behörden und Bewerbungsportalen.
Der Bericht von Recorded Future hebt drei Fälle von identifizierten Personen hervor, die wie folgt zusammengefasst werden:
- “d****"Wohnhaft in Cleveland, Ohio, wegen Kindesmissbrauchs verurteilt und als Sexualstraftäter registriert. Unterhält Konten auf mindestens vier CSAM-Seiten.
- “docto" - Einwohner von Illinois, der ehrenamtlich in Kinderkrankenhäusern arbeitet und wegen Diebstahls im Einzelhandel vorbestraft ist. Führt Konten auf neun CSAM-Websites.
- “Bertty" - Wahrscheinlich ein venezolanischer Student, der Konten auf mindestens fünf CSAM-Seiten unterhält. Der Verlauf der Kryptowährungstransaktionen bringt den Nutzer mit dem potenziellen Kauf und der Verbreitung von CSAM-Inhalten in Verbindung.
Die Analyse von Insinkt unterstreicht das Potenzial von Infostealer-Daten bei der Unterstützung der Strafverfolgungsbehörden bei der Verfolgung von Kindesmissbrauch und der Strafverfolgung von Personen.
