15 Jahre altes Malware-Proxy-Netzwerk **VIP72** wird abgeschaltet..!

15 Jahre altes Malware-Proxy-Netzwerk VIP72 wird abgeschaltet…!

  • Trotz einer klitzekleinen Namensähnlichkeit des erwähnten Dienstes im Artikel mit einem User hier bei der Tarnkappe, stehen diese beiden in keinerlei Zusammenhang! :wink:

In den letzten 15 Jahren hat ein Anonymitätsdienst für Internetkriminalität namens VIP72 unzähligen Betrügern die Möglichkeit gegeben, ihren wahren Standort im Internet zu verschleiern, indem sie ihren Datenverkehr durch Millionen von mit Malware infizierten Systemen leiteten. Doch vor etwa zwei Wochen verschwand der Online-Shop von VIP72, der ironischerweise seit mehr als zehn Jahren unter derselben Internetadresse in den USA zu finden ist, einfach.
Wie andere Anonymitätsnetzwerke, die vor allem in Online-Foren für Cyberkriminalität vermarktet werden, leitet VIP72 den Datenverkehr seiner Kunden über Computer, die gehackt und mit Schadsoftware infiziert wurden. Mit Diensten wie VIP72 können die Kunden Netzwerkknoten in praktisch jedem Land auswählen und ihren Datenverkehr weiterleiten, während sie sich hinter der Internetadresse eines unwissenden Opfers verstecken.

Die Domäne Vip72[.]org wurde ursprünglich 2006 auf „Corpse“ registriert, den Namen eines russischsprachigen Hackers, der einige Jahre zuvor durch die Entwicklung und den Verkauf eines äußerst raffinierten Online-Banking-Trojaners namens A311 Death, auch bekannt als „Haxdoor“ und „Nuclear Grabber“, Berühmtheit erlangte. Haxdoor war seiner Zeit in vielerlei Hinsicht weit voraus und wurde in mehreren millionenschweren Cyberdiebstählen eingesetzt, lange bevor millionenschwere Cyberdiebstähle zu täglichen Schlagzeilen wurden.

0

Zwischen 2003 und 2006 konzentrierte sich Corpse auf den Verkauf und die Unterstützung seiner Haxdoor-Malware. VIP72, das 2006 aufkam, war eindeutig eine seiner Nebenbeschäftigungen, die sich über viele Jahre hinweg zu einem zuverlässigen Geldbringer entwickelte. Es liegt auf der Hand, dass VIP72 mit Hilfe von Systemen gestartet wurde, die bereits mit der Trojaner-Malware von Corpse infiziert waren.

Die erste Erwähnung von VIP72 im Cybercrime-Untergrund erfolgte 2006, als jemand unter dem Namen „Revive“ auf Exploit, einem russischsprachigen Hackerforum, für den Dienst warb. Revive baute eine Verkaufspräsenz für VIP72 in mehreren anderen Foren auf, und die Kontaktdaten und Nachrichten, die dieser Benutzer privat mit anderen Forumsmitgliedern austauschte, zeigen, dass Corpse und Revive ein und dieselbe Person sind.

Als Revive 2006 gefragt wurde, ob die Software, mit der VIP72 betrieben wird, auf seiner Corpse-Software basiert, antwortete er: „Sie funktioniert mit der neuen Corpse-Software, die speziell für unseren Dienst geschrieben wurde.“

3

Ein Nutzer eines russischsprachigen Kriminalitätsforums, der sich über die unerklärte Schließung von VIP72 im letzten Monat beschwerte, gab an, dass er kurz vor dem Verschwinden des Dienstes eine Änderung in der Infrastruktur des Domänennamens der Website festgestellt habe. Diese Behauptung konnte jedoch nicht überprüft werden, da es einfach keine Anzeichen dafür gibt, dass die Infrastruktur vor dem Verschwinden von VIP72 geändert wurde.
Tatsächlich befanden sich die Haupthomepage und die unterstützende Infrastruktur von VIP72 bis Mitte August mehr als ein Jahrzehnt lang unter derselben Internetadresse in den USA - eine bemerkenswerte Leistung für einen so hochkarätigen Cybercrime-Dienst.

Cybercrime-Foren in mehreren Sprachen sind übersät mit Anleitungen, wie man VIP72 nutzen kann, um seinen Standort zu verschleiern und gleichzeitig Finanzbetrug zu begehen. Aus einigen dieser Anleitungen geht hervor, dass VIP72 bei Cyberkriminellen sehr beliebt ist, die „Credential Stuffing“ betreiben, d. h. Listen von Benutzernamen und Kennwörtern, die von einer Website gestohlen wurden, nehmen und testen, wie viele dieser Anmeldedaten auf anderen Websites funktionieren.

Corpse/Revive betrieb auch lange Zeit einen äußerst beliebten Dienst namens check2ip[.]com, der Kunden die Möglichkeit bot, schnell festzustellen, ob eine bestimmte Internetadresse von einem Sicherheitsunternehmen als bösartig oder spammig eingestuft wurde.

Check2IP, das in den letzten zehn Jahren bis Mitte August 2021 auf derselben Internetadresse wie VIP72 gehostet wurde, warb auch damit, dass Kunden „DNS-Lecks“ aufspüren können, d. h. Fälle, in denen Konfigurationsfehler die wahre Internetadresse von versteckten Cyberkriminalitätsinfrastrukturen und -diensten im Internet offenlegen können.

Check2IP ist so populär, dass es in bestimmten Cybercrime-Communities zu einer verbalen Abkürzung für grundlegende Sorgfaltspflichten geworden ist. Außerdem wurde Check2IP in eine Reihe von Online-Cybercrime-Diensten integriert - vor allem aber in solche, die Massenmails mit bösartigen und gefälschten Nachrichten versenden.
Es ist nach wie vor unklar, was mit VIP72 passiert ist. Benutzer berichten, dass das Anonymitätsnetzwerk immer noch funktioniert, obwohl die Website des Dienstes schon seit zwei Wochen nicht mehr erreichbar ist. Das macht Sinn, denn die infizierten Systeme, die über VIP72 weiterverkauft werden, sind immer noch infiziert und leiten den Datenverkehr munter weiter, solange sie infiziert sind. Vielleicht wurde die Domäne im Rahmen einer Strafverfolgungsmaßnahme beschlagnahmt.

Es könnte aber auch sein, dass der Dienst einfach beschlossen hat, keine neuen Kunden mehr anzunehmen, weil er Schwierigkeiten hatte, mit dem Zustrom neuerer, ausgefeilterer krimineller Proxydienste und dem Aufkommen „kugelsicherer“ Proxynetzwerke für Privatanwender zu konkurrieren. Während der meisten Zeit seines Bestehens bis vor kurzem hatte VIP72 normalerweise mehrere hunderttausend kompromittierte Systeme zur Miete zur Verfügung. Bis zum Verschwinden der Website im letzten Monat war diese Zahl auf weniger als 25.000 Systeme weltweit geschrumpft.

2 31_c53242abb82f9e5e75cdcb4069b791b4

Finde ich schade. Im VIC Socks Markt gibts ja eigentlich nicht so viel Auswahl.

Im Screenshot ist vip72.com.com zu lesen.

Die Domäne Vip72[.]org

ist allerdings im ersten Satz unter dem Screenshot angeben.
Was den nun? Weil vıp72.com ist weiterhin online.
https://www.vıp72.com/index.php?page=indexlang=us
Legendlich die vip72.com (Hauptdomain) ist off.

vip72.cx
vip72.com
vip72.asia

…sind doch quasi nur die Shop-Seiten des eigentlichen Netzwerks. Natürlich gehört somit die .com zu der .org dazu, weil darunter (.org) die komplette Infrastruktur und Steuerungs-Panel verwaltet und bedient wurden, sowie das Botnetz etc.

vip72.com war auch nur eine Shopseite, wie du schon schriebst, es läuft doch alles andere dahinter wohl noch.

Ach ja hier aktuellere Infos weshalb wieso
http://sellvip72.com/en/

We’ll be back soon!

Sorry for the inconvenience but we’re performing some maintenance at the moment. We’ll be back online shortly!

Update: Socks client will be unavailable within next 5 (FIVE) days for planned upgrades. We will resume normal work of socks client till the end of this week. All active subscriptions will have +8 days to existed paid period

— We only work on web vip72.com and sellvip72.com/en. Do not access fraudulent websites on google search e.g: vip72.cx, .us etc…

— Contact via ICQ: 686883254

Zitat aus cnw:

Soweit ich mitbekommen habe, sind die 5 Tage „Arbeitszeit“ schon vor ner Woche angekündigt gewesen. Der Client funktioniert allerdings weiterhin und alle laufenden Subscriptions die bestehend sind, funktionieren fine.

Achso dann noch Alternativen zu vip72 mitgeliefert direkt

https://911.re/
https://luxsocks.ru/

Ich denke, da ist der Wurm drin!

— We only work on web vip72.com and sellvip72.com/en. Do not access fraudulent websites on google search e.g: vip72.cx, .us etc…

Komischerweise wurde / wird von der orig. .com-Seite selber direkt zu der .cx und .asia Domain verlinkt…schon immer so gewesen!
Im Gegensatz dazu ist diese sellvip72.com, meines Erachtens keine Original -URL des vip72-Netzwerks!
Hinzu kommt, dass die ICQ-Nummer nicht den echten, ursprünglichen Nummern, die jahrelang genutzt wurden, entspricht!!

https://krebsonsecurity.com/2021/09/15-year-old-malware-proxy-network-vip72-goes-dark/#:~:text=Over%20the%20past%2015%20years,millions%20of%20malware%2Dinfected%20systems.

https://www.databreaches.net/15-year-old-malware-proxy-network-vip72-goes-dark/

https://cybersecuritynews.com/vip72-goes-dark/

https://www.itsecuritynews.info/15-year-old-malware-proxy-network-vip72-goes-dark/

IMO: Wll sich da gerade ein Trittbrettfahrer oder Nischenkasper breit machen…oder sogar ein Scammer?
Oder das FBI versucht noch zu retten, was zu retten ist, wenn sie vorher verdeckt ermittelt haben…?!

Nein, sellvip72 war Zahlungspanel von vip72 schon Jahre, auf der Orginalseite steht auch die richtige ICQ mit bei.

Siehst auch der Facebook Seite die ganzen Fotos
https://www.facebook.com/sellvip72/

Geh mir mit dem Vietcong da wesch! Mehr möchte ich da grad nicht zu sagen!

Hat der diese dauernden Invites aus seinem roten Parteibuch rauskopiert? Auch wenn mein Vietnamesisch etwas eingerostet ist, sehe ich ja, was er will…
Aber was fällt uns im Bezug auf die Invitecodes hier nun auf??

RÜSCHTÜSCH…nicht eintragbar, da Humbug!

Soll der sich mal an einen von den echten Jabber-Accounts wenden und fragen, was Sache ist. :wink:

P.S.
Hier noch der Login ins Zahlungspanel… :joy:

Ich hab eben mal geschaut. Das einzige interessante an sellvip72 ist das Paket mit 361 Millionen
MX-Records, die da so rumgammelten! :wink:

mx records 361M.rar/fdns_mx_2.txt [Part 420 of 513]

Ich hab mal hier einen Teil der 513 Teile als PDF konvertiert:

e7e1cbaa-4e8c-49cc-b7ae-7ed5b30cbe7c.pdf

Diese eine PDF von den erwähnten 513, hat alleine schon über 1500 DIN A4 - Seiten!

  • dc-1ac403d80850.sellvip72.com ← ist übrigens der Vietcong-Host :joy:

Na das die Seiten sellvip72.com und vip72.com zusammenhängen, kann man nicht abstreiten.
Schließlich hat vip72.com kurz vor der Downtime auf sellvip72.com weitergeleitet.

Oder der Vietcong hatte seine Finger drin…?!? :wink: :joy: