Autoridades dos EUA e da Europa informaram na quinta-feira que desarticularam o SocksEscort, um serviço malicioso de proxy usado por cibercriminosos para ocultar suas identidades ao realizar fraudes, incluindo invasões de contas de criptomoedas.
O Departamento de Justiça dos EUA (DOJ) afirmou que o serviço comprometeu pelo menos 369.000 roteadores e outros dispositivos conectados à internet em 163 países, dando aos cibercriminosos controle sobre proxies que ocultavam seus verdadeiros endereços IP.
A plataforma teria permitido crimes, incluindo fraude bancária e invasões de contas de criptomoedas, desde 2020. Em um caso citado pelos promotores, uma vítima em Nova York perdeu cerca de US$ 1 milhão em criptomoedas.
As autoridades disseram ter apreendido 34 domínios, interrompido cerca de duas dezenas de servidores em sete países e congelado aproximadamente US$ 3,5 milhões em criptomoedas ligados à operação.
A rede recebeu pelo menos US$ 5,7 milhões de usuários
Para acessar o serviço de proxy, os clientes usavam uma plataforma de pagamento que permitia comprá-lo anonimamente com criptomoedas, segundo comunicado da Europol.
Investigadores estimam que o SocksEscort recebeu pelo menos 5 milhões de euros (US$ 5,7 milhões) de seus usuários.
“Serviços de proxy como o ‘SocksEscort’ fornecem aos criminosos a cobertura digital de que precisam para lançar ataques, distribuir conteúdo ilegal e evitar detecção”, disse Catherine De Bolle, diretora executiva da Europol.
“Operações como esta mostram que, quando investigadores conectam os pontos internacionalmente, a infraestrutura por trás do cibercrime pode ser exposta e desativada”, acrescentou.
A operação envolveu autoridades de vários países
A derrubada fez parte de um esforço internacional coordenado que incluiu autoridades da Áustria, França, Países Baixos, Alemanha, Hungria, Romênia e Estados Unidos.
Entre as agências americanas envolvidas estavam o escritório do FBI em Sacramento, o Defense Criminal Investigative Service do Office of Inspector General do Departamento de Defesa e o escritório de investigação criminal do IRS em Oakland. A Europol e a Eurojust forneceram apoio investigativo e operacional para a operação transfronteiriça.
O DOJ também reconheceu a colaboração da Black Lotus Labs, unidade de inteligência de ameaças da empresa de telecomunicações dos EUA Lumen Technologies, e da organização sem fins lucrativos Shadowserver Foundation, que forneceram inteligência técnica durante a investigação.
Segundo o The Hacker News, o SocksEscort utilizava um malware conhecido como AVrecon, cujos detalhes foram documentados publicamente pela Black Lotus Labs em julho de 2023.