I log degli infostealer possono essere uno strumento potente per identificare i consumatori di materiale di abuso sessuale su minori (CSAM). Recorded Future’s Identity Intelligence ha analizzato i dati dei malware infostealer per identificare circa 3.300 utenti unici con account su fonti note di CSAM. Il 4,2% di questi utenti possedeva credenziali per più fonti, suggerendo una maggiore probabilità di comportamento criminale. Questi dati sono stati segnalati alle forze dell’ordine per ulteriori azioni.
Metodologia
Il malware infostealer ruba informazioni sensibili come credenziali di accesso, portafogli di criptovalute, dati delle carte di pagamento, informazioni del sistema operativo, cookie del browser, screenshot e dati di compilazione automatica. Questi dati rubati finiscono spesso sul dark web, dove i cybercriminali possono acquistarli per ottenere accesso a reti o sistemi.
L’anonimato fornito dai siti web basati su Tor con domini .onion facilita la produzione e il consumo di CSAM. Sebbene solo una piccola percentuale di siti .onion ospiti CSAM, la maggior parte delle attività di navigazione sul dark web si rivolge a questi siti.
Risultati
Il team di Insikt ha identificato 3.324 credenziali uniche utilizzate per accedere a siti web noti di CSAM. Questo ha permesso di raccogliere statistiche su fonti e utenti individuali, comprese le loro username, indirizzi IP e informazioni di sistema. Questi dati granulari aiutano le forze dell’ordine a comprendere l’infrastruttura dei siti CSAM, a scoprire le tecniche utilizzate dai consumatori di CSAM per mascherare la loro identità e a identificare potenziali consumatori e produttori di CSAM.
In tre casi studio, il team di Insikt ha utilizzato i dati contenuti nei log degli infostealer e l’intelligenza open-source (OSINT) per identificare due individui e ha trovato ulteriori artefatti digitali, tra cui indirizzi di criptovaluta, appartenenti a un terzo individuo.
I log degli infostealer possono essere utilizzati per identificare i consumatori di CSAM, nuove fonti e tendenze nelle comunità di CSAM. Con la crescita della domanda di log degli infostealer e degli ecosistemi di malware-as-a-service (MaaS), il team di Insikt prevede che i dataset dei log degli infostealer continueranno a fornire intuizioni attuali ed evolutive sui consumatori di CSAM.
