Ukradene lozinke su uglavnom lozinke Steam i Roblox naloga, lozinke za Amazon i PayPal naloge, ali i informacije o plaćanjima i kripto novčanicima.

Pored lozinki, ove grupe su ukrale 2,11 milijardi kolačića, 113.204 kripto novčanika i 103.150 platnih kartica. Grupama se rukovodi preko Telegrama.

Tržišna vrijednost ukradenih podataka se procjenjuje na oko 5,8 miliona dolara, navodi se u izvještaju Group-IB, firme za sajber-bezbjednost sa sjedištem u Singapuru.

Većina žrtava nalazi se u SAD, a slijede Brazil, Indija, Njemačka, Indonezija, Filipini, Francuska, Turska, Vijetnam i Italija. Ukupno, više od 890.000 uređaja u 111 zemalja je zaraženo tokom navedenog vremenskog perioda.

Group-IB je saopštila da je nekoliko grupa učestvovalo u operaciji Classiscam.

Ove grupe, koje su aktivne na Telegramu i imaju oko 200 članova u prosjeku, su hijerarhijski ustrojene, i sastoje se od administratora i radnika, pri čemu su ovi drugi odgovorni za distribuciju malvera.

Do infekcija dolazi na lažnim veb sajtovima koji služe kao mamci a koji izgledaju kao sajtovi poznatih kompanija. Žrtve se na taj način namamljuju da preuzmu zlonamjerne fajlove. Linkovi za takve veb sajtove su ugrađeni u YouTube video recenzije za popularne igre i lutrije na društvenim mrežama.

"Administratori obično daju radnicima RedLine i Racoon u zamjenu za dio ukradenih podataka ili novca", saopštila je kompanija.

"Neke grupe koriste tri malvera u isto vrijeme, dok druge imaju samo jedan", dodaje se.

Nakon uspješne infekcije, sajber kriminalci prodaju ukradene informacije na mračnom vebu.

Group-IB ističe ključnu ulogu koju Telegram igra u omogućavanju niza kriminalnih aktivnosti, uključujući i to da se koristi za najavu ažuriranja proizvoda, pružanje korisničke podrške i eksfiltraciju podataka sa kompromitovanih uređaja.

"Popularnost šema koje uključuju malvere koji kradu podatke može se objasniti niskom ulaznom barijerom", objašnjava Group-IB.

"Početnici ne moraju da imaju napredno tehničko znanje jer je proces potpuno automatizovan i jedini zadatak radnika je da napravi fajl sa malverom u Telegram botu i usmjeri saobraćaj na njega".