A equipe da Web Dark da Socradar descobriu uma nova rodada de atividades maliciosas nos fóruns de hackers nesta semana. Os atores de ameaças estão leiloando 80.000 registros de cartão de crédito e alegando vender uma exploração de dia de zero que afeta o Fortinet Fortigate Firewalls. Uma campanha mais ampla, apelidada de “STX Database Collection”, parece estar segmentando vários provedores de serviços de email além do SendGrid, com mais de 10 milhões de registros supostamente comprometidos. As postagens adicionais incluem o vazamento de exportações do gerenciador de senhas de duas empresas separadas, bem como uma nova ferramenta de verificador de contas do Spotify sendo compartilhada para permitir ataques de recheio de credenciais.
Receba um relatório gratuito da Web Dark para sua organização:
Alegada 80k de crédito está à venda
A Socradar Dark Web Team detectou um novo post em um fórum da Web Dark, no qual um ator de ameaças afirma estar vendendo um conjunto de 80.000 registros de cartão de crédito.
De acordo com o ator de ameaças, o conjunto de dados contém detalhes completos do cartão, incluindo o número do cartão, o código do CVC, a data de validade e o nome do titular do cartão. O formato de amostra é alinhado com despejos de CVV comumente negociados em mercados de fraude subterrânea.
O ator de ameaças observa que o leilão começa em 400.000, com 30.000 incrementos. Um preço de Blitz de 500.000 também está definido – refere -se a uma opção de compra direta que ignora completamente o processo de licitação. Diz-se que a listagem está disponível por 24 horas, possivelmente para pressionar potenciais compradores com urgência em tempo limitado.
Embora a autenticidade do conjunto de dados permaneça não confirmada, se legítima, a escala e a natureza da oferta podem representar riscos sérios em termos de fraude financeira e segurança do titular do cartão.
A venda de exploração de 0 dias é detectada para o Fortinet
A Socradar Dark Web Team identificou um post em um fórum da Web Dark, no qual um ator de ameaças afirma estar vendendo uma vulnerabilidade de dias zero que afeta os firewalls do Fortinet FortiGate. O exploração permite a execução de código remoto autenticado e o acesso completo à configuração em sistemas que executam fortios.
De acordo com o ator de ameaças, a vulnerabilidade permite o controle administrativo completo de dispositivos vulneráveis do FortiGate sem exigir credenciais válidas. O pacote de exploração é descrito como fornecendo acesso a arquivos de configuração, dados do usuário, regras de firewall, configurações de VPN, logs, certificados e outros componentes críticos do sistema.
O ator de ameaças está oferecendo a exploração completa e o despejo de dados por US $ 6.500. Embora a validade da exploração permaneça não verificada, o nível de acesso descrito sugere implicações potencialmente críticas para as organizações que usam dispositivos FortiGate não patched.
A suposta violação de dados de serviço de email se expande além do sendGrid
Socradar Dark Web Team identificou um novo post no Breachforums, onde um ator de ameaças usando o pseudônimo “Satânico” reestruturou um vazamento compartilhado anteriormente em uma campanha mais ampla sob o nome “Coleção de banco de dados STX (Parte-1)” – Um rótulo criado explicitamente pelo ator de ameaças.
Publicado em 8 de abril de 2025, a postagem atualizada agora afirma incluir dados de várias plataformas de email principais: MailChimp, Hubspot, Mailgun, MailJet, Mandrill e Brevo. Segundo o ator de ameaças, o conjunto de dados total contém mais de 10 milhões de registros, supostamente expondo informações confidenciais e informações comerciais.
O ator de ameaças afirma que os dados comprometidos incluem endereços de email, números de telefone e metadados no nível da empresa, o que pode indicar um compromisso generalizado de plataformas amplamente utilizadas para marketing e comunicação.
No mesmo post, o ator de ameaças também mencionou que Parte 2 e Parte 3 da chamada coleção STX Seguirá em breve, implicando uma campanha em andamento direcionando os provedores de serviços de e -mail.
Embora a autenticidade dos dados permaneça não verificada, a escala da reivindicação – se confirmada – pode representar um risco sério para as plataformas afetadas e seus usuários.
As exportações do suposto gerente de senhas de 2 empresas vazam
A Socradar Dark Web Team identificou um novo post da Web Dark, no qual um ator de ameaças afirma estar vendendo exportações de gerenciador de senhas pertencentes a duas empresas separadas.
Segundo o ator de ameaças, o primeiro alvo é uma corporação dos Emirados Árabes Unidos com US $ 90 milhões Em receita, supostamente expondo o acesso a infraestrutura sensível, como um painel de negócios da ESET, credenciais da AWS com autenticação de dois fatores, sistemas Fortinet e configurações de RDP.
Diz -se que a segunda entidade é um grupo corporativo brasileiro gerando US $ 10 milhões em receitacom acesso sensível semelhante supostamente exposto-incluindo credenciais da AWS (habilitado para 2FA), ambientes do Docker via Portainer e outros serviços internos.
Uma nova ferramenta de verificador para o Spotify é compartilhada
A equipe da Socradar Dark Web detectou uma nova postagem em um fórum da Web Dark, no qual um ator de ameaças afirma ter compartilhado uma ferramenta personalizada projetada para realizar verificações de contas do Mass Spotify.
De acordo com o ator de ameaças, a ferramenta-conhecida como “Spotify-Checker”-é escrita em Python e é compatível com sistemas Linux, Windows e Android. É supostamente capaz de testar grandes listas de credenciais do Spotify (listas de combinação) formatadas como pares de e -mail: senha.
O ator de ameaças compartilhou instruções de instalação passo a passo para todas as principais plataformas, incluindo o uso do Git para clonar a ferramenta de um repositório do GitHub e executá-lo diretamente usando o Python.
Embora a funcionalidade da ferramenta não tenha sido verificada de forma independente, essas ferramentas são frequentemente usadas por atores de ameaças para automatizar ataques de encher de credenciais contra plataformas populares. Se efetivo, este verificador pode permitir acesso não autorizado a grandes volumes de contas do Spotify usando credenciais vazadas anteriormente.
Alimentado por DarkMirror
Ganhar visibilidade em ameaças da Web profunda e escura pode ser extremamente útil de uma inteligência de ameaças acionável e perspectiva de proteção de risco digital. No entanto, o monitoramento de todas as fontes simplesmente não é viável, o que pode ser demorado e desafiador. Um clique por matake pode resultar em infecção por bot de malware. Para enfrentar esses desafios, a tela DarkMirror da Socradar capacita sua equipe do SOC a acompanhar as últimas postagens de atores e grupos de ameaças filtrados pelo país ou indústria alvo.
