HackerNews

HackerNews
微软捣毁造成 4000 万美元诈骗损失的 RedVDS 网络犯罪平台

微软捣毁造成 4000 万美元诈骗损失的 RedVDS 网络犯罪平台

作者: hackernews 日期: 2026-01-15 分类: 网络犯罪
给文章评分:

HackerNews 编译,转载请注明出处:

微软近日捣毁了一个名为RedVDS的流行网络犯罪订阅服务平台。据称,仅在美国,该平台就造成了超过4000万美元的诈骗损失。

微软助理总法律顾问史蒂文·正田表示,RedVDS为网络犯罪分子提供了一次性的虚拟计算机,这使得诈骗活动成本低廉、易于扩大规模且难以追踪。

作为一场与欧洲刑警组织和德国当局合作的更广泛国际执法行动的一部分,微软在美国和英国提起了民事诉讼。该公司与执法部门合作,查封了托管RedVDS市场和客户门户的两个域名,并采取措施追查该骗局背后的涉案人员。目前尚未公开任何嫌疑人姓名。

德国州刑事警察查封了一台用于运行RedVDS的服务器,使得该市场平台下线。

"RedVDS是一种在线订阅服务,属于日益增长的'网络犯罪即服务'生态系统的一部分,网络犯罪分子在此买卖服务和工具以大规模发起攻击,"正田说。"它提供对运行未授权软件的廉价、有效、一次性虚拟计算机的访问,使犯罪分子能够快速、匿名地跨境操作。"

网络犯罪分子每月仅需支付24美元即可访问该平台,并利用它发送钓鱼邮件、托管诈骗基础设施等。RedVDS自2019年开始存在,一直通过一家据称位于巴哈马的虚假公司公开运营。大多数客户使用比特币和其他加密货币购买该网站的服务。

正田解释说,仅在一个月内,微软就观察到超过2600个不同的RedVDS虚拟机向微软客户平均每天发送100万条钓鱼信息。虽然大部分信息被拦截,但仍有少量可能到达了目标收件箱。自9月以来,RedVDS支持的攻击"已导致全球超过130,000个组织中的超过191,000个微软电子邮件账户遭到入侵或被欺诈性访问",他补充道。

微软与两家共同原告方一起提起了民事诉讼以关闭这些平台:一家是位于阿拉巴马州的制药公司H2 Pharma,另一家是佛罗里达州的Gatehouse Dock共管公寓协会。H2 Pharma遭遇的网络犯罪分子利用RedVDS窃取了超过730万美元,而该公寓协会则损失了居民和业主为维修贡献的约50万美元资金。

房地产诈骗

网络犯罪分子通常使用RedVDS进行支付转移欺诈,也称为商业电子邮件入侵。该平台允许威胁行为者侵入电子邮件账户、监控对话,并在支付或电汇发生前将自己插入邮件链中。通过冒充邮件链中的其他参与者,黑客能够在几秒钟内转移资金,远在组织意识到资金发送错误之前。

正田指出,RedVDS一直是房地产支付转移诈骗蔓延的关键推手。网络犯罪分子越来越多地针对房地产经纪人、托管代理或产权公司,窃取人们以为用于支付房屋首付款的数百万美元。"对于家庭和首次购房者来说,后果可能是毁灭性的,一次被转移的支付就可能耗尽毕生积蓄或彻底破坏购房计划,"正田说。"仅房地产领域,微软就观察到RedVDS支持的活动影响了超过9,000名客户,在加拿大和澳大利亚等国影响尤为严重。而且威胁远不止于房地产。RedVDS支持的诈骗已波及建筑、制造、医疗、物流、教育、法律服务等众多行业——扰乱了从生产线到患者护理的方方面面。"

微软观察到网络犯罪分子发送虚假发票或要求更改付款账户的电子邮件,并利用紧迫感迫使受害者尽快汇款。在某些情况下,他们发送虚假的未付发票,要求当天偿还债务。

RedVDS本身并不拥有物理数据中心,而是从美国、加拿大、英国、法国和荷兰的第三方托管提供商那里租用服务器。这使得网络犯罪分子能够从靠近受害者目标的IP地址发起攻击,从而绕过基于地理位置的安全过滤器。

欧洲刑警组织也协助捣毁了支持RedVDS客户的更广泛的服务器和支付网络。

“即用型”平台

微软表示,RedVDS是网络犯罪分子获取基于Windows的远程桌面协议服务器的途径,这些服务器具有完全管理员控制权且无使用限制。该公司最终追查到了数千条被盗凭证、从目标组织窃取的发票、群发邮件工具和钓鱼工具包,它们都指向该平台。

这些网络犯罪分子使用了几种不同的工具来验证大型电子邮件地址数据库、分类和清理邮件列表以及发送批量邮件,所有这些操作都是通过RedVDS实例完成的,他们还使用注重隐私的网页浏览器和VPN来隐藏身份。一些用户甚至部署了ChatGPT和其他OpenAI工具来撰写有说服力的英文电子邮件。

研究人员解释说:"一旦配置完成,这些克隆的Windows主机为攻击者提供了一个即用型平台,用于研究目标、部署钓鱼基础设施、窃取凭证、劫持邮箱,并以最小的阻力执行基于冒充的金融欺诈。威胁行为者受益于RedVDS无限制的管理员访问权限和微乎其微的日志记录,使得他们能够在没有有效监督的情况下操作。RedVDS服务器统一、一次性的特性使网络犯罪分子能够快速迭代攻击活动,自动化大规模投递,并迅速从初始目标选定转移到金融盗窃。"

与RedVDS相关的其他平台能生成PDF或HTML诱饵附件,自动化电子邮件发送周期,并创建看似合法网站的钓鱼域名。在30多天的时间里,微软发现了超过7,300个与RedVDS基础设施相关的IP地址,这些地址共同托管了超过3,700个用于冒充合法平台的域名。

当受害者在这些网站上输入他们的凭证时,RedVDS会协助提取令牌或Cookie,从而使网络犯罪分子能够绕过多因素身份验证。利用窃取的信息,攻击者登录邮箱,搜索任何涉及财务、发票或供应商的对话。

微软表示,这是该公司为关闭网络犯罪基础设施而采取的第35次民事诉讼行动。在2025年秋季,它采取了类似行动关闭了一个名为RaccoonO365的流行服务,该服务被网络犯罪分子用于窃取用户名和密码。至少有一名在尼日利亚的男子因运营RaccoonO365平台被捕。微软观察到的许多使用RaccoonO365钓鱼服务的网络犯罪分子也同时使用了RedVDS。

 

 

消息来源:therecord.media

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文