بازداشت توسعه‌دهنده کیت فیشینگ RaccoonO365 در نیجریه

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، مرکز ملی جرایم سایبری پلیس نیجریه اعلام کرد پس از دریافت اطلاعات از مایکروسافت، اف‌بی‌آی و سرویس مخفی ایالات متحده، دو عملیات یورش در ایالت‌های لاگوس و ادو انجام داده که به بازداشت سه نفر انجامیده است.

اگرچه دو نفر از بازداشت‌شدگان ارتباطی با عملیات مجرمانه سایبری نداشتند، اما پلیس «اوکیتیپی ساموئل» را بازداشت کرد که متهم است یکی از توسعه‌دهندگان کلیدی زیرساخت فیشینگ RaccoonO365 بوده است.

از RaccoonO365 برای ایجاد درگاه‌های جعلی ورود مایکروسافت استفاده می‌شد که با هدف سرقت نام‌های کاربری و گذرواژه‌ها و دسترسی غیرقانونی به پلتفرم‌های ایمیل سازمان‌های شرکتی، مالی و آموزشی طراحی شده بودند.

سخنگوی پلیس نیجریه بیان کرد:

بررسی‌ها نشان می‌دهد [ساموئل] یک کانال تلگرام را اداره می‌کرد که از طریق آن لینک‌های فیشینگ در ازای دریافت رمزارز فروخته می‌شد و درگاه‌های جعلی ورود را با استفاده از اعتبارنامه‌های ایمیلی سرقت‌شده یا به‌طور متقلبانه به‌دست‌آمده، روی زیرساخت کلادفلر میزبانی می‌کرد.

به گفته این سخنگو، در جریان این یورش‌ها لپ‌تاپ‌ها، دستگاه‌های تلفن همراه و سایر تجهیزات دیجیتال که احتمالاً با این طرح مرتبط بوده‌اند نیز ضبط شد.

در ماه سپتامبر، مایکروسافت حکم قضایی برای توقیف ۳۳۸ وب‌سایت مرتبط با RaccoonO365 دریافت کرده بود.

کیت RaccoonO365 به‌صورت یک کیت فیشینگ اشتراکی فعالیت می‌کرد که به مجرمان سایبری امکان می‌داد با استفاده از برند مایکروسافت، ایمیل‌ها، پیوست‌ها و وب‌سایت‌های جعلی ایجاد کنند؛ مواردی که قربانیان را به باز کردن، کلیک کردن یا دانلود لینک‌ها یا اسناد مخرب ترغیب می‌کرد.

این سرویس توسط مجرمان سایبری که ماهانه حدود ۳۶۵ دلار برای اشتراک پرداخت می‌کردند، برای هدف قرار دادن روزانه ۹ هزار نشانی ایمیل به کار می‌رفت و همچنین روش‌هایی برای دور زدن حفاظت‌های احراز هویت چندعاملی ارائه می‌داد تا اعتبارنامه‌های کاربران سرقت شده و دسترسی پایدار به سامانه‌های قربانیان به‌دست آید.

در بیشتر موارد، ایمیل‌ها دارای پیوست‌هایی با لینک یا کُد QR بودند که کاربر را به صفحه‌ای دارای کپچا هدایت می‌کرد.

پس از وارد کردن کپچا، قربانی به صفحه جعلی ورود مایکروسافت O365 منتقل می‌شد که اطلاعات ورود را سرقت می‌کرد.

پلیس نیجریه اعلام کرد این ایمیل‌های فیشینگ به مجرمان سایبری امکان انجام کلاهبرداری از طریق ایمیل‌های تجاری (Business Email Compromise)، نشت داده‌ها و ایجاد خسارات مالی را می‌داد.

کلادفلر نیز در ماه سپتامبر صدها دامنه و حساب کاربری مرتبط با این گروه را از دسترس خارج کرد.

بنا بر اعلام مقامات کلادفلر، چندین کارزار فیشینگ مشاهده شده بود که برندهایی مانند ادوبی، مرسک، داکیوساین و دیگران را جعل می‌کردند.

استیون ماسادا، معاون مشاور حقوقی واحد جرایم دیجیتال مایکروسافت (DCU)، در آن زمان گفت که کیت‌های RaccoonO365 دست‌کم برای سرقت ۵ هزار اعتبارنامه مایکروسافت در ۹۴ کشور مورد استفاده قرار گرفته‌اند.

نزدیک به یک سال است که پژوهشگران چندین شرکت نسبت به شیوع RaccoonO365 و افزایش استفاده از آن توسط مجرمان سایبری برای اجرای حملات کلاهبرداری ایمیل تجاری و سایر سوءاستفاده‌ها هشدار داده‌اند.

مایکروسافت اعلام کرده است که «جاشوا اوگون‌دیپه»، شهروند نیجریه‌ای، نیروی اصلی پشت RaccoonO365 بوده است.

مایکروسافت پرونده‌ای کیفری درباره او به نهادهای بین‌المللی اجرای قانون ارسال کرده، اما محل حضور او مشخص نیست.

گفته می‌شود او با همکاری دیگران، این ابزار را در تلگرام بازاریابی و به فروش می‌رسانده است.

کانال تلگرامی این گروه حدود ۸۵۰ عضو داشته است.

به گفته مایکروسافت، اوگون‌دیپه بخش عمده کُد RaccoonO365 را نوشته، اما نقش‌های دیگر از جمله توسعه و فروش سرویس و نیز پشتیبانی مشتریان برای سایر مجرمان سایبری را به همدستان خود واگذار کرده بود.

بنا بر اعلام مایکروسافت، این فعالیت‌ها دست‌کم ۱۰۰ هزار دلار درآمد برای آنان به همراه داشته است.

پلیس نیجریه و مایکروسافت به درخواست‌ها برای اظهار نظر درباره نقش دقیق ساموئل در این عملیات پاسخی ندادند.

نیجریه در سال ۲۰۲۵ موضع سخت‌گیرانه‌تری در قبال جرایم سایبری اتخاذ کرده است؛ از جمله محکوم کردن ۹ تبعه چینی به یک سال زندان به دلیل نقششان در یک شبکه جرایم سایبری که گفته می‌شود شامل آموزش و جذب جوانان نیجریه‌ای برای ارتکاب کلاهبرداری اینترنتی بوده است.