Uma plataforma da dark web chamada Darkhub surgiu na rede Tor, anunciando abertamente serviços de hacking-for-hire para qualquer pessoa disposta a pagar. A plataforma apresenta-se como uma loja única para atividade cibernética ilegal, com ofertas que vão desde a invasão de contas de redes sociais até a interceptação de mensagens privadas e manipulação de registros financeiros.
Escopo de serviços e ângulo de fraude cripto
O que torna o Darkhub notável é como ele comercializa abertamente essas capacidades, embalando um amplo menu de serviços ilegais em uma interface polida como se fosse um negócio legítimo. A plataforma visa pessoas comuns e organizações. Os serviços listados do Darkhub incluem acesso não autorizado a contas do Instagram, Telegram e WhatsApp, junto com comprometimento de e-mail, monitoramento de telefones celulares e rastreamento de localização em tempo real de indivíduos.
Ele também afirma oferecer serviços relacionados a fraudes de criptomoedas, acesso não autorizado a contas bancárias e a capacidade de alterar pontuações de crédito, cobrindo uma gama surpreendentemente ampla de intenção criminal em uma única vitrine. Categorias como recuperação de fundos e manipulação de pontuação de crédito são marcas conhecidas de operações de golpe de taxa antecipada.
Exposição de infraestrutura e links de hospedagem bulletproof
Uma descoberta chave da investigação da Oasis Security foi a identificação de um endereço IP roteável publicamente vinculado ao Darkhub. Usando a plataforma de inteligência da dark web Arthur, os pesquisadores rastrearam a infraestrutura do site para um provedor de hospedagem baseado nos EUA operando sob o ASN AS44259. Este provedor já foi sinalizado em relatórios de terceiros por exibir características de hospedagem bulletproof.
Provedores de hospedagem bulletproof são conhecidos por ignorar reclamações de abuso, tornando-os uma escolha de infraestrutura favorita para operações de cibercriminosos. O provedor também foi objeto de um aviso de conformidade ICANN relacionado ao abuso de domínio relacionado a phishing, e seus materiais de marketing enfatizam políticas de conteúdo permissivas, que é exatamente o tipo de ambiente que operadores da dark web procuram.
Indicadores de Comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser monitorados:
- URL Onion:
7comssbegmmbxdi7nu7obids2urmkqnmxao5ojbesga3hxmns2yjnxqd.onion - Endereço IP:
38.127.***.***(IP público associado à infraestrutura) - ASN:
AS44259(ULTAHOST, provedor de hospedagem identificado) - Email:
darkhubhackers@protonmail.com - Telegram:
@DarkHubs0
O que os CISOs devem fazer imediatamente
Organizações que monitoram ameaças da dark web devem tratar qualquer tráfego vinculado a esta infraestrutura com extrema cautela. A exposição de um IP público para um serviço que depende da anonimidade da rede Tor é uma anomalia significativa que pode ser explorada para rastrear a operação. Recomenda-se a monitoração contínua de canais de comunicação como Telegram e ProtonMail para detectar tentativas de contato ou ofertas de serviços ilegais.