Кребс назвал имя администратора трояна NetWire

Администратором площадки worldwiredlabs.com, через которую распространялся троян NetWire, был гражданин Хорватии Марио Занко из города Запрешич. Такие данные распространил известный независимый журналист Брайан Кребс (Brian Krebs) со ссылкой на проведенное им расследование.

В частности, ему удалось выяснить, что ресурс worldwiredlabs.com впервые появился в сети в феврале 2012 года с использованием выделенного хоста. При этом настоящие регистрационные записи сайта в WHOIS скрыты, но Кребсу удалось найти множество подсказок в истории DNS-записей. В частности, в октябре 2012 года домен переехал на выделенный сервер по адресу 198.91.90.7, на котором располагался еще один ресурс — printschoolmedia.org, также зарегистрированный в 2012 году.

Согласно данным уже DomainTools.com, этот второй ресурс как раз и был зарегистрирован на хорвата Марио Занко, а также на его электронный адрес [email protected]. Этот же e-mail использовался в том же 2012 году для регистрации площадки wwlabshosting.com. Исследование DNS-записей для printschoolmedia.org и wwlabshosting.com показывает, что оба домена использовали DNS-сервер ns1.worldwiredlabs.com. Никакие другие ресурсы не были зарегистрированы с использованием того же сервера.

DNS-записи для worldwiredlabs.com также свидетельствуют, что вся входящая электронная почта переправлялась на адрес [email protected]. Сервис Constella Intelligence, который индексирует информацию, раскрытую в результате утечек, показывает, что этот адрес электронной почты использовался для регистрации учетной записи в магазине одежды romwe.com с использованием пароля «123456xx». Обратный поиск по этому паролю в Constella Intelligence показывает, что существует более 450 адресов электронной почты, которые использовали эти учетные данные, и два из них — [email protected] и [email protected].

Поиск по адресу [email protected] в Skype выдал Кребсу три результата с никами Netwire, Dugidox и zanko.mario. Второй из этих ников совпадает с ником пользователя, который на протяжении многих лет курировал продажи NetWire и отвечал на вопросы пользователей на различных хакерских форумах. При этом еще один адрес электронной почты — [email protected] — Constella Intelligence связывает с несколькими регистрациями на ресурсах, в частности, с никами Dugidox на BlackHatWorld и HackForums, а также с хорватскими IP-адресами. Кроме того, адрес электронной почты [email protected] использовал пароль dugidox2407.

Кребс выяснил, что в 2010 году кто-то, используя адрес электронной почты [email protected], зарегистрировал домен dugidox.com. В регистрационных записях WHOIS для этого домена в качестве владельца указана Senela Eanko, но в качестве физического адреса использовался тот же адрес в Запрешиче, что и для домена printschoolmedia.org, зарегистрированного на Марио Занко.

До закрытия Google+ адрес электронной почты [email protected] был привязан к учетной записи Netwire wwl, а также к профилю в Facebook mario.zanko3, в которой были выложены записи и фотографии из разных регионов Хорватии. Этот профиль больше не является активным, но еще в январе 2017 года администратор worldwiredlabs.com сообщил, что рассматривает возможность добавления в свой сервис определенных мобильных функций Android. Через три дня после этого в профиле mario.zanko3 появилась фотография, на которой говорилось, что он был выбран для прохождения курса обучения в рамках ОС Android. При этом на фото попала его электронная почта — [email protected].

RuNews|DarkNews.pro|EngNews
🪙CRYPTO SPACE GROUP – 🤔Анонимный миксер крипты. 🟢Оборвём и запутаем все цепочки связей. AML 0-25%. Снятие без верифа и документов. API подключения

🟢 337 STORE — LOOKUP SERVICE 24/7 (SSN DL DOB CR CS) LOOKUP BOT / API / FULLZ SHOP