美国政府成立了一个新的打击加密货币犯罪的特别工作组，由来自不同联邦机构的五名调查员组成。 “暗网市场和数字货币犯罪特别工作组”成立于6月15日，旨在“瓦解和摧毁“那些利用数字货币提供的“匿名外观”进行贩毒、洗钱和其他犯罪的犯罪组织。 其活动暂时将仅限于亚利桑那州。 美国移民和海关执法局网站周二分享的一份新闻稿称：“随着这些犯罪活动和组织变得更加复杂，执法工具、资源和情报必须适应，不得不进行调整。” U.S. Attorney and Federal Law Enforcement Partners Announce Formalization of Darknet Marketplace and Digital Currency Crimes Task Force @DHSgov @DEAPHOENIXDiv @IRS_CI @USPISpressroom https://t.co/rpfowDMAdO — US Attorney Arizona (@USAO_AZ) June 16, 2023 该交叉机构包括来自国土安全部（DHS）、国税局刑事调查组（IRS-CI）、美国缉毒署（DEA）、司法部（DOJ）和美国邮政检查局（USPS）的特工。 多年来，这五个机构都完成了一系列与加密货币有关的刑事调查，加密货币作为绕过传统金融体系制衡的工具，正在不断增长。 例如，去年，司法部追回了2018年从加密货币交易所Bitfinex盗窃的36亿美元比特币，这是历史上最大的一次金融扣押行动。同年晚些时候，该部门查获了与丝绸之路（Silk Road）相关的50,000个比特币(BTC)，”丝绸之路“是一个现已不复存在的暗网市场，利用比特币促进毒品、武器和其他非法物品的交易。 “DEA致力于拯救生命，”DEA负责的特别探员Cheri Oz说。“隐藏在暗网中的毒贩将被这个特别工作组积极锁定并揭穿。” 与此同时，IRS-CI特别负责人Al Childress表示，他的部门“正在越来越多地投入更多的调查时间和特工专业知识来应对暗网和加密货币犯罪。” 根据Chainaanalysis的数据，虽然通过加密货币相关犯罪窃取的资金数额每年都在增长，但其在加密货币相关交易绝对总额中所占的份额持续下降。 此外，美国财政部去年在一份风险评估报告中证实，数字资产被用于洗钱的情况仍然远少于法定货币。 尽管如此，财政部还在4月份强调了与去中心化金融（DeFi）生态系统相关的“国家安全”风险，因为“窃贼”和“勒索软件行为者”也可以利用它来洗钱。

2022年6月至2023年5月期间，超过101100个被盗的OpenAI ChatGPT帐户凭证在非法暗网市场中被发现，仅印度就有12632个被盗的凭证。 Group-IB公司在一份报告中表示，这些凭证是在地下网络犯罪出售的信息窃取日志中发现的。 这家总部位于新加坡的公司表示：“包含被盗取ChatGPT帐户的可用日志数量在2023年5月达到26802个的峰值。”“在过去的一年里，亚太地区经历了最集中的ChatGPT凭证被提供出售的情况。” ChatGPT凭证被盗数量最多的其他国家包括巴基斯坦、巴西、越南、埃及、美国、法国、摩洛哥、印度尼西亚和孟加拉国。 进一步的分析显示，大多数包含ChatGPT账户的日志被臭名昭著的Raccoon信息窃取工具盗取（78348），其次是Vidar（12984）和RedLine（6773）。 信息窃取工具因其能够从浏览器和加密货币钱包扩展劫持密码、cookie、信用卡和其他信息而受到网络犯罪分子的欢迎。 Group-IB表示：“包含信息窃取工具收集的被盗信息的日志在暗网市场上活跃交易。” “有关此类市场上可用日志的其他信息包括日志中找到的域名列表以及有关受感染主机的IP地址的信息。” 它们通常基于订阅定价模式提供，不仅降低了网络犯罪的门槛，而且还成为使用被盗凭证发起后续攻击的渠道。 Group-IB威胁情报主管Dmitry Shestakov表示：“许多企业正在将ChatGPT集成到他们的运营流程中。” “员工输入机密信件或使用机器人优化专有代码。鉴于ChatGPT的标准配置保留了所有对话，如果威胁行为者获得账户凭证，这可能会无意中为他们提供敏感情报的宝库。“ 为了减轻此类风险，建议用户遵循适当的密码要求习惯，并使用双因素身份验证（2FA）保护其帐户，以防止帐户被接管攻击。 这一发展是在一个正在进行的恶意软件活动中出现的，该活动利用假的OnlyFans网页和成人内容的诱惑来提供一个远程访问木马和一个名为DCRat（或DarkCrystal RAT）的信息窃取器，这是AsyncRAT的一个修改版本。 eSentire公司研究人员表示：“在观察到的情况下，受害者被引诱下载包含手动执行的VBScript加载程序的ZIP文件。”并指出该活动自2023年1月以来一直在进行。 “文件命名惯例表明，受害者是被利用各种成人电影女演员的露骨照片或OnlyFans内容被引诱的。” 这也是在发现一种名为GuLoader（又名CloudEyE）的恶意软件的新VBScript变体之后，它采用了以税收为主题的诱饵来启动PowerShell脚本，能够检索并将Remcos RAT注入合法的Windows进程中。 这家加拿大网络安全公司在本月早些时候发布的一份报告中表示：“GuLoader是一种高度规避的恶意软件加载程序，通常用于提供信息窃取者和远程管理工具（RAT）。” “GuLoader利用用户启动的脚本或快捷方式文件来执行多轮高度混淆的命令和加密的shellcode。其结果是一个内存驻留的恶意软件有效载荷在一个合法的Windows进程内运行。” OpenAI在一份声明中称：“Group-IB的威胁情报报告的调查结果是人们在设备上被种植恶意软件的结果，而不是OpenAI的数据泄露行为。” “我们目前正在调查已泄露的帐户。OpenAI维护了对用户进行身份验证和授权使用包括ChatGPT在内的服务的行业最佳实践，我们鼓励用户使用强密码并仅在个人计算机上安装经过验证和可信的软件。”

在”暗网下/AWX“最近的独家报道中透露，BreachForums.vc在臭名昭著的ShinyHunters黑客的控制下卷土重来，这些黑客与原BreachForums的管理团队进行合作。 在旧的BreachForums论坛被联邦调查局查封之后，其所有者PomPomPurin（真名：Conor Brian Fitzpatrick）在纽约被捕，后来，因为担心数据被FBI掌握，继任管理员Baphomet宣布关闭旧的BreachForums论坛。 现在，新恢复的论坛已成为数据泄露的受害者，导致4202多名注册会员的个人信息暴露。 OnniForums的管理员宣布入侵了BreachForums.vc 在Telegram上的一次交流中，一位名为“Weep”（The Jacuzzi聊天的版主之一）的网友证实了网络攻击的发生。Weep向BreachForums.vc的成员发表讲话，并将数据泄露归因于名为OnniForums的竞争对手论坛，该论坛是一个专注于安全和匿名的暗网论坛。Weep敦促论坛成员重置密码，并透露黑客利用了MyBB论坛程序的0day漏洞。 与此同时，据称来自OnniForums官方推特账户的推文声称对这次袭击负责。来自同一论坛的另一条推文声称他们参与了破坏另一个名为“Exposed”的黑客论坛。值得注意的是，2022年5月，ExposedForum上泄露了一个部分数据库，其中包含来自现已被FBI查封的RaidForums的46万多名成员的详细信息。 泄露的数据包括4202名注册会员的信息 经多位用户确认，泄露数据是真实的，包括4202名注册会员的信息。 泄露的信息包括以下内容：登录密钥、用户名、电子邮件地址、IP地址、密码哈希、注册日期、成员的上次访问和帖子、帖子数和上次活动、社交媒体、个人资料链接等等。 BreachForums曾因促进被盗数据的讨论和交易而臭名昭著，该论坛重新启动后再次成为网络安全问题的焦点。 BreachForums.vc论坛现已恢复访问 BreachForums.vc自2023年6月19日星期一凌晨以来一直处于离线状态，但目前，该论坛已恢复在线。新的公告透露，数据泄露是由竞争对手的黑客论坛实施的，该论坛利用了免费开源论坛软件MyBB中的0day漏洞。 公告介绍，BreachForums.vc仍处于论坛的早期阶段，他们已经必须每天7*24处理来自竞争对手的DDOS攻击。同一个人在服务器上发现了MyBB的备份，其中包含约4000的电子邮件、密码（使用argon2i进行哈希处理）和IP（主要是VPN/Tor）。 公告表示，目前无法确定现在有多少人可以访问用户数据库。为了以防万一，请用户重设密码。并称，有些人担心论坛会消失，但他们不会，他们正在为这个错误承担全部责任，并将确保生存下去。

安全研究员Sh1ttyKids近日发布了一种新方法的详细信息，该方法基于HTTP响应标头中的实体标签（ETag）对Tor服务器进行去匿名化，从而找到暗网网站的真实IP。 该技术最初于2020年11月发现，并私下捐赠给了美国安全部队。 调查主要通过Shodan和Censys等开源资产扫描服务以及暗网社区的来源进行。 原因是勒索软件团伙Ragnar Locker对视频游戏公司Capcom的攻击事件，勒索者从中窃取了1TB的数据。 对泄漏站点的分析使研究人员能够找到用于托管受损数据的洋葱地址的原始IP地址。 同时，使用Etag发现的去匿名化方法至今几乎不为公众所知。 并且FBI似乎成功地使用这种技术对勒索软件组织Ragnar Locker的暗网泄密站点进行了去匿名化处理，并且嫌疑人受到了指控。 原来该勒索组织是臭名昭著的Wazawaka（又名m1x，又名Boriselcin，又名Uhodiransomwar）。 原文的一些流程： 介绍 臭名昭著的勒索软件团伙Ragnar Locker攻击了视频游戏公司Capcom，声称窃取了1TB的数据。Capcom拒绝了Ragnar Locker的要求，并将67GB的被盗文件发布在了暗网上。 研究 该泄漏站点仅包含一个链接，不包含文件本身。相反，有一个专门的Onion地址（http://rgleaktxuey67yrgspmhvtnrqtgogur35lwdrup4d3igtbm3pupc4lyd.onion/，该勒索组织的暗网网站）用于托管泄露数据等文件，这似乎是由Ragnar Locker勒索组织背后的运营者准备的。文件本身被分成多个文件并托管在以t2w…开头的Onion地址上（t2w5byhtkqkaw6m543i6ax3mamfdy7jkkqsduzzfwhfcep4shqqsd5id.onion）。 直接访问这个Onion地址会出现一个空白页面，这让我推测这是一个专门用于托管Capcom泄露数据的地址，且没有证据表明该地址用于托管Capcom泄露的数据以外的任何用途。 空页面和响应头 一般在暗网上寻找网站的源站IP地址时，会检查网站的源代码、SSL证书、响应头等，获取唯一字符串和指纹信息，然后扫描Shodan等服务，Censys等用于搜索IP地址。很多时候是使用Shodan、Censys等扫描服务来查找IP地址，但在这种情况下，我无法获取到网站源代码等信息。 然后，我检查了响应标头。除了源代码之外，扫描服务还获取响应标头。因此，如果响应头中包含一个唯一的字符串，就有可能获取到源IP地址。 HTTP/1.1 304 Not Modified Date: Wed, 11 Nov 2020 17:09:12 GMT Server: Apache/2.4.6 (CentOS) mpm-itk/2.4.7–04 OpenSSL/1.0.2k-fips PHP/5.4.16 Connection: Keep-Alive Keep-Alive: timeout=5, max=100 ETag: "0–5a4a8aa76f2f0" 我尝试在服务器标头和其他地方搜索，但无法像我希望的那样缩小搜索范围，可能是因为它不是唯一的字符串。看了下有没有其他地方可以用来缩小搜索范围，想到可以利用response header中的ETag信息来进行识别。 ETag是响应头中包含的信息，它是为每个内容生成的，作为响应头的一部分发送给浏览器。使用Shodan，我搜索了ETag信息0–5a4a8aa76f2f0并找到了一个命中。 如果您尝试直接访问该IP地址，您将看到一个空白页面，就像您直接访问t2w5by….的onion地址一样。 我检查了响应头，发现它是相同的ETag；服务器不匹配等其他标头的原因未知。 我尝试在Onion地址和IP地址上下载同名文件，并确认同名文件位于如下图所示的位置。所以，可以说t2w5by….onion的Onion地址的源IP地址是5[.]45[.]65[.]52。 根据托管Capcom被窃取数据的洋葱地址(t2w5by….onion)，一项使用Etag信息的研究揭示了原始IP地址(5[.]45[.]65[.]52)。例如，如果当地执法部门获得了这些信息，他们可能会没收服务器并将其用于调查。 后来从FBI Flash Report中得知，5[.]45[.] 65[.]52，是FBI Flash Report 中提到的一个IP地址。它没有提及有关此IP地址的任何进一步信息，但正如上面的研究所示，它被用作托管Capcom被窃取数据的服务器。

五月初，“暗网下/AWX”曾提醒，英文暗网市场Vice City已经无法提款，有可能是“退出骗局”。经过一个多月的断断续续的可用性和延续几个月的无法提款举报后，尽管目前该暗网交易市场仍保持在线状态，但暗网论坛Dread的版主Solar已经正式宣布长期存在的暗网市场Vice City正在经历”退出骗局“。 几个月来，Vice City一直受到一系列问题的困扰，由于长时间的停机、不处理提款和存款的问题以及市场工作人员和管理人员整体缺乏沟通，用户逐渐失去了信心。在上个月的某个时间里，该暗网市场的URL地址已从可信赖的暗网链接提供商tor.taxi中移除，这让人相信它存在某些问题。 两周前，有网友在reddit说，他还以为是被警方查处了，”退出骗局“也好，总之，与他的40美元（Vice City里的资金）说拜拜了。 在Dread版主Solar的一篇标题为“此时不要使用Vice City市场”的一句话帖子中，该暗网市场的不利形势似乎得到了证实，至少在过去几周内许多用户的担忧得到了印证。“该暗网市场很可能是退出诈骗，”Solar写道，但没有提供任何额外的背景或证明信息。 目前为止，Vice City暗网市场似乎是完全保持运作的，看起来也没有什么问题，尽管有许多举报说它已经停止处理提款。 暗网论坛Dread上的Vice City官方账号最后一次发帖，是在2023年4月19日。尽管该账号从未特别活跃，但它并没有费心去解决用户的任何担忧或对其消亡的多种猜测。至少从2022年12月开始，有关”退出骗局“的传言就一直在流传，尽管暗网市场总是在长时间离线后返回，以证明反对者是错误的。 目前，暗网论坛Dread上的普遍共识是，该暗网市场的”退出骗局“酝酿已久，最近在Vice City分论坛上的帖子反映了市场的一系列问题，从提款请求不被处理到登录问题，再到缺乏关于客服票据和纠纷的支持。 暗网市场Vice City于2020年5月推出，在其运营的三年中一直备受争议。除了上面提到的问题——其中许多问题一直困扰着它的整个生命周期——市场的基本功能经常失修，导致一些人质疑它的可信度。尽管存在问题，但由于其相对较大的商品选择和直接支付（按订单）的支付系统，Vice City也取得了不错的人气。 更多暗网新闻动态，请关注“暗网下/AWX”。

Omnipotent，臭名昭著的RaidForums的前任管理员，今天发布了一条带有PGP签名的声明，PGP签名的存在基本证实了也许确实是他自己发布的。声明的大概内容是：”你们都是好人，看到pom因经营自己的Raidforums后继者BreachForums而遭受打击，以及他自杀，我很难过。我也处在这个相同的位置。在这些时候，也请大家支持其他受害者。我现在没有任何重启Raidforums的计划，不能为其他人担保。我也对Raidforums的数据库泄露感到非常震惊。不知道它是如何发生的。它是有效的，可以追溯到2020年底。据我所知，没有工作人员从raidforums被捕。“ 这是一条有趣的声明，有点意味深长，“暗网下/AWX”详细描述该声明，建议大家阅读。 Omnipotent是现在已经被FBI捣毁的Raidforums背后的所有者，今天突然给他的网站（rf.to）提供了一个带签名的更新声明。所有人可以在其网站查看：https://rf.to/statement-1.txt，打开该网址：https://rf.to/statements，可以阅读所有其他声明。 在声明中，他首先表示，要感谢“每一位向我伸出援手，传递善意和支持的信息”的用户。有些人“甚至每天都与我联系并保持友好的交谈”，并从心底里感谢他们。 第2点，他说了一些关于“pompompurin”和他经营自己的BreachForums的事情，他说：“得知他所谓的自杀企图，我很痛苦，我想告诉他坚持住，我也发现自己处于同样的困境。有一部分的我背负着罪恶感，特别是当我考虑到那些可能觉得有必要继续我的遗产的人，后来又面临着正是这样做的后果。不管怎么样，我还是要感谢我们社区的成员，他们挺身而出，填补了RaidForums离开后留下的空白，创造了空间和论坛，使社区保持活力。” 接着，他说：”我请求你们向那些发现自己被卷入RaidForums活动的法律后果的人提供支持。现在比以往任何时候都更需要你们的同情心。我最近看到Euronews的一篇文章，详细介绍了其中一名嫌疑人的困境：https://www.euronews.com/next/2023/06/02/raidforums-the-child-hacker-facing-extradition-to-the-us，情况相当糟糕。此外，我不禁质疑当局在这件事上的一些行为背后的道德，但美国的不道德行为由来已久，所以这并不令我惊讶“。 对于重建RaidForums，他再次澄清，RaidForums已被FBI查封并下线，他目前没有任何建造替代品的计划。他为这个社区奉献了他生命中的重要部分，因此他希望大家能够尊重这个决定。并表示，社区中还有其他人建立了替代平台。虽然他个人不能保证它们的安全性或可靠性，但它们可供希望找到它们的人使用。 然后，他谈到了RaidForums数据库泄漏事件，说他不知道它是如何发生的，因为除了他自己之外，没有人被允许访问数据库。但他确认了泄漏数据库的真实性，说”泄露的数据库似乎是真实的，可以追溯到2020年底。“他从发布泄漏数据库的人那里得到的说法是，泄露数据库是由管理员Jaw通过管理面板下载的。他还抨击了ExposedForums或泄露数据的论坛，声称”他们在计划为RaidForums社区建立一个替代论坛时，居然自愿暴露自己社区的数据，我觉得信任这样的人令人深感不安和反常”。 最后，他陈述了关于工作人员被捕的情况，声称“有三个人因涉嫌与我们社区有关而被捕，其中两人后来被释放，等待进一步调查。第三个人目前正面临可能被引渡到美国的情况。”他还表示，”然而，我想平息任何关于Jaw、Moot或任何其他工作人员是否被逮捕的猜测——他们没有”。 该声明的详细内容： -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 This is a PGP signed message from Omnipotent; First and foremost, I want to express gratitude to every one of you who has reached out to me, bearing messages of goodwill and support. Some have even contacted me daily and kept friendly chatter flowing, I thank you for this much needed distraction. To those of you offering this outpouring of support—you know who you are—I thank you from the bottom of my heart.

6月13日，英文暗网圈子爆出大的新闻，“暗网下/AWX”进行了追踪。 BreachForums宣布回归重启 Breached论坛的创始人“Pompompurin”的合伙人“Baphomet”，在关闭Breached论坛数周后，终于宣布重新启动Breached论坛。他在其Telegram群组里称论坛恢复了，并公开了新的Breached论坛的地址：https://breachforums.vc。他说，当你注册时，请检查你的垃圾邮件文件夹，因为邮件可能没有到达收件箱。他还表示，如果你发现任何错误，请告诉我，如果网站已关闭，可能因为“impotent”（Exposed论坛的管理员）正在进行DDoS攻击。 Baphomet在其个人站点发布了Breached论坛恢复的公告，并提醒大家确认PGP签名，该公告表示： 这是Baphomet，不仅确认了我自己，而且确认了官方论坛：breakforums.vc 这是我们唯一的域名，其他域名都不值得信任。包括任何旧的被破坏的域名。 请耐心等待，因为我们正在解决一些与电子邮件验证和停机时间有关的预期问题。在BF上拥有等级的成员可以在论坛上PM我（或电报），以恢复他们在我们论坛上的账户。如果你没有收到验证邮件，请让我知道，我们可以确保你的账户被激活。 意味着目前重启的Breached论坛是一个新论坛，并没有导入关闭前Breached论坛的老数据，“Baphomet”表示可以手工恢复用户等级，他也在群组里说： 如前所述，我们唯一的域名是https://breachforums.vc 如果你需要从BF恢复你的等级，如果我不在这里回应，请在论坛上给我发邮件。提供任何可以验证你的信息，从截图，到账户信息（电子邮件，等等）。 我们正在努力解决电子邮件的问题，但在这之前，我将手动验证任何人。谢谢你的耐心。 Exposed论坛宣布寻找新的主人 Exposed论坛曾因泄露Raidforums的用户数据库而收获了广泛的知名度，一度被认为是已宣布关闭的Breached论坛的替代品。 6月13日上午，版主“Purism”在相应的论坛帖子中写道将出售Exposed论坛，随即该网站断开数据库连接，取而代之的一个”我们正在寻找新的所有者！“的首页，内容称：“因为我们没有足够的时间来管理网站，我们正在为它寻找新的所有者。如果您想成为所有者，请在Telegram上联系：@purism12或@ImpotentDude”，并留了一个电子邮件地址：[email protected] 首页提到了Breached论坛，发布了“关于 breachforums.vc 的更新！！！”： 不要使用 BreachForums.VC！ShinyHunters 和 Baphomet 未能通过 OPSEC.. 论坛后端真实IP（BreachForums.vc）：45.140.17.4 后端 CDN IP (cdn.breachforums.vc)：host-18.dedicated.vsys.host :806 – 基于 vsys.host！ 但是，可能由Medusa勒索软件团伙运营的Telegram频道已经发布了警告，其称：“别尝试联系@purism12或@ImpotentDude来购买https://exposed.vc论坛，这是一个彻底的诈骗。他们确实有该论坛的访问权限，但只是想在退出前诈骗2000~3000美元。已经有超过4人被诈骗。”也就是该论坛团队正在进行退出骗局。 更奇怪的是，Exposed网站出售的公告的同时，BreachForums也发布了宣布恢复的公告。 论坛欢迎信息说：“论坛回来了，它将由同一个团队管理。” 为何如此巧合 著名网络安全分析组织vx-underground的Telegram频道发布消息： ExposedExposed，这个旨在取代Breached的论坛，正在出售。 同时，Breached论坛已经回归。与Pompompurin合作的前主人Baphomet现在正与臭名昭著的ShinyHunters集团一起工作。 vx-underground直接将BreachForums的重新启动与Baphomet加入ShinyHanters这一事实联系起来。Pompompurin本人于2023年3月被FBI逮捕，此后Baphomet宣布关闭BreachForums。 消息称，ShinyHanters黑客组织专门从网站和各种服务窃取用户数据。它至少从2020年开始活跃，在2020年，他们设法从该公司已关闭的GitHub帐户中窃取了约500GB的微软产品软件代码。在此之前，他们窃取了印尼零售巨头Tokopedia的9100万个账户数据。其他受害者包括Wattpad、PlutoTV和Bonobos。 早在2023年6月上旬，暗网圈中均认为Exposed论坛是Breached论坛的潜在替代品，特别是，“Purism”向Breached论坛宣战，称其创始人“不知道如何保护用户的安全”。但是，是否是Breached论坛的重启导致了Exposed论坛的关闭，“暗网下/AWX”将持续跟进。 更多暗网新闻动态，请关注“暗网下/AWX”。

代码签名证书应该有助于验证软件发布者的身份，并提供加密保证，确保已签名的软件未被更改或篡改。这两种特性使得被盗或不正当获得的代码签名证书对网络犯罪集团具有吸引力，他们看重的是其为恶意软件增加隐蔽性和持久性的能力。 独立记者布莱恩·克雷布斯（Brian Krebs）近期发布了一项调查，在调查中，他多次对知名暗网用户“Megatraffer”进行了人肉，将他与过去十年中期居住在莫斯科的某个人联系起来。文章中称，这位俄罗斯资深黑客自2015年以来几乎垄断了以恶意软件为中心的代码签名证书的地下市场。 在文章开头，克雷布斯对“Megatraffer”在俄罗斯犯罪论坛Exploit.in上的帖子的审查后显示，“Megatraffer”于2015年开始在Exploit上交易被盗的代码签名证书。他的业务很快扩展到销售用于对设计为在Microsoft Windows、Java、Adobe AIR、Mac 和 Microsoft Office上运行的应用程序和文件进行加密签名的证书。 根据“Megatraffer”的说法，恶意软件供应商需要证书，因为许多防病毒产品对未签名的软件更感兴趣，而且从互联网下载的签名文件往往不会被现代网络浏览器内置的安全功能阻止。Krebs详细说明，在2016年，“Megatraffer”以每张700美元的价格出售独特的代码签名证书，并针对“扩展验证”或EV代码签名证书收取两倍多的费用（1900美元）。根据“Megatraffer”的说法，如果您想签署能够在较新的Windows操作系统中可靠运行的恶意软件或硬件驱动程序，则EV证书是“必备”证书。 “Megatraffer”继续在六个以上的其他俄语网络犯罪论坛上提供代码签名服务，主要以 Thawte 和 Comodo 等主要供应商偶尔提供的 EV 和非 EV 代码签名证书的形式提供。 据网络情报公司Intel 471称，从2009年9月到今天，“Megatraffer”一直是至少七个最大的暗网站点的积极参与者。在大多数情况下，他使用的电子邮件地址是“[email protected]”，这个电子邮件地址还与两个论坛账户中一个名为“O.R.Z.”的用户相联系。 开放式数据库监控公司Constella Intelligence发现邮箱地址[email protected]仅与少数几个密码相关联，但最常见的密码是字母组合“featar24”。对其进行反向搜索后，克雷布斯找到了一个邮箱地址“[email protected]”，Intel 471发现该地址在2008年也与昵称O.R.Z相关联，这个2008年在Verified.ru上注册的帐户。在此之前，[email protected]被用作“Fitis”帐户的电子邮件地址，该帐户在2006年9月至2007年5月期间处于活跃状态。此外，Constella Intelligence发现“featar24”密码关联到电子邮件地址[email protected]，该地址与2008年Carder.su上的另一个O.R.Z.账户相关联。此外，[email protected]地址被用来创建一个名为“Fitis”的Livejournal个人博客，其头像是一只大熊。 “我是一个完美的罪犯。我的指纹每隔几天就会改变，无法辨认。至少我的笔记本电脑是肯定的。”Fitis在他的博客中写道。 2010年，在当时两家最大的垃圾邮件赞助商相互开战并且他们的内部文件、电子邮件和聊天记录落入许多国际研究人员手中之后，“Fitis”的身份被曝光。文件显示，Spamit联盟计划中收入最高的员工之一就是“Fitis”，他吸引了超过75个联盟成员（并从所有75名联盟成员的未来销售中获得佣金）来工作。他收到了一个WebMoney帐户的付款，该帐户的所有者在注册时出示了有效的俄罗斯护照，其姓名为Konstantin Evgenievich Fetisov，出生于1982年11月16日，在莫斯科注册。俄罗斯机动车记录显示，此人在同一莫斯科地址登记了两辆不同的车辆。 此外，注册到[email protected]电子邮件地址的最奇怪的域名是fitis.ru，根据DomainTools.com说这是在2005年注册给来自莫斯科的Konstantin E. Fetisov。 archive.org上的Wayback Machine在早年为fitis.ru收录了索引，其中大部分是空白页面，但在2007年的一段短时间内，该网站似乎无意中将其所有文件目录暴露给了互联网。其中显示了一个ICQ的号码为：165540027，英特尔 471发现该ICQ号码是“Fitis”之前在Exploit论坛中使用的即时通讯地址。 总部位于纽约市的网络情报公司Flashpoint发现“Megatraffer”的ICQ是Himba.ru域名的联系电话，Himba.ru是一项于2012年推出的广告联盟计划，英特尔 471发现Himba是一个活跃的广告联盟计划，直到2019年5月左右停止向其合作伙伴付款。 Flashpoint指出，2015年9月，Megatraffer在Exploit上发布了一则招聘广告，寻求经验丰富的编码人员来处理浏览器插件、安装程序和“加载程序”——基本上是远程访问木马（RAT），它们可以在攻击者和受感染的系统之间建立通信。 奇怪的是，克雷布斯几乎只字未提“Megatraffer”在2015年之后的命运和活动。他的调查更关注的不是Fetisov的个性，而是代码签名证书仍然是暗网上需求的商品这一事实。

一名来自美国马萨诸塞州的18岁男孩被指控试图通过在暗网上销售礼品卡（包括亚马逊和迪克的体育用品礼品卡），为恐怖组织“伊拉克和沙姆伊斯兰国（ISIS）”筹集超过1600美元——但该少年的父亲声称他的儿子一直被人“牵着鼻子走”。 美国马萨诸塞州检察官办公室周四发表声明称，来自马萨诸塞州韦克菲尔德的马特奥·文图拉（Mateo Ventura）周四首次在伍斯特美国地方法院出庭，他将面临故意隐瞒外国恐怖组织物质支持或资源来源的指控。 这名少年是韦克菲尔德纪念高中的学生，他被下令关押在监狱，等待下周三的保释听证会。 文图拉的父亲保罗在法庭外告诉记者，他的儿子因早产而在发育和学习方面存在问题，并补充说他在学校受到欺凌者的折磨。 他强烈否认这名少年支持伊斯兰极端组织。 “我儿子说，’爸爸，我不明白，我没有做错任何事’。”保罗·文图拉（Paul Ventura）描述了联邦调查局周四早上前来逮捕马特奥的那一刻。 “我儿子不是恐怖分子。”他补充道。 18岁的马特奥·文图拉（Mateo Ventura）周四被逮捕，罪名是在资助ISIS的计划中故意隐瞒对外国恐怖组织的物质支持或资源来源。 检察官表示，文图拉被指控参与一项计划，即在暗网上以低于面值的价格出售礼品卡，所得款项用于资助伊斯兰国。 根据一份宣誓书，在2020年8月至2021年8月期间，文图拉向他认为是ISIS支持者但实际上是卧底FBI特工的人发送了大约25张价值965美元的礼品卡。 那段时间，他还未成年。 检察官说，在18岁之后的1月至5月期间，文图拉向假冒的ISIS同情者提供了另外705美元的礼品卡。 马特奥的父亲保罗·文图拉(PaulVentura)告诉记者，他的儿子不是恐怖分子，他被人“牵着鼻子走”了。 这位单身父亲说，他的儿子——有学习和发育问题——试图通过向特工展示在暗网上联系ISIS武装分子是多么容易来帮助FBI。 大多数卡片（每张价值从10美元到100美元不等）都来自Google Play商店。其他则来自GameStop、亚马逊和Dick’s Sporting Goods。 法庭文件显示，这名马萨诸塞州的青少年还在一款加密的消息应用程序上谈到了想要出国旅行并与ISIS作战的想法。 法庭文件显示，有一次，这名18岁的年轻人向卧底特工发送了一段录音，宣誓效忠当时的伊斯兰国领导人阿布·易卜拉欣·哈希米·库拉什（Abu Ibrahim al-Hashimi al-Qurash）。 据称，文图拉甚至购买了一张4月份前往开罗的机票，但他从未成功登机。 检察官说，Mateo向他认为是ISIS支持者的人发送了价值1670美元的礼品卡，但实际上该人是FBI卧底特工。 检察官称，今年4月，文图拉联系了FBI，提出向该机构通报埃及未来发生的恐怖袭击事件，以换取1000万美元和豁免权，但被联邦调查局拒绝了他的提议。 文图拉的父亲保罗·文图拉争辩说，他的儿子，他说他精通电脑，正试图通过向FBI展示美国人可以多么容易地在网上与恐怖分子联系来帮助FBI“并与他们合作”。 “[他是]百分百忠诚的美国人。百分之一百，”单身父亲说。“他不喜欢恐怖主义。他不喜欢。他喜欢了解它。” 如果罪名成立，文图拉将面临最高10年的监禁。

法庭文件显示，美国田纳西州的一名女子被指控从暗网付钱给一名杀手，以杀死她在Match.com上认识的徒步旅行伙伴的妻子，并在一款健身应用程序上跟踪该女子的行踪。 当她的朋友（在最近解封的法庭文件中以首字母D.W.命名）告诉她他将在去年秋天结婚时，Melody Sasser显然不喜欢这样。 根据日期为5月11日的宣誓书，她告诉该男子：“我希望你们都掉下悬崖死去。” 上个月，Sasser在美国东田纳西州地方法院被指控犯有雇佣谋杀罪，如果罪名成立，她将面临最高10年的监禁。 根据宣誓书，一个外部执法机构向阿拉巴马州伯明翰的国土安全调查部门举报了4月份涉嫌的阴谋。 法庭文件称，调查人员收到了在线用户“cattree”与暗网网站”在线杀手市场“（Online Killers Market）管理员之间的消息，该网站宣称提供“雇佣杀手”服务。 根据刑事诉讼，该网站的屏幕截图显示，“cattree”于1月11日下单谋杀。 官员们说，她分享了目标的名称、地址以及描述：“它需要看起来是随机的或意外的。或者是因为吸毒，不希望有长时间的调查。她最近搬去和她的新婚丈夫同住。” 根据刑事诉讼，Sassers被指控的行为发生在四个月的时间里，从年初到2023年4月27日。Sassers所谓订单的报价金额为9750 美元，并以比特币支付。 文件称，“Cattree”还上传了目标的照片，该人物的名字缩写为J.W.。 调查人员向目标居住的阿拉巴马州普拉特维尔市的警方发出警报，并派巡逻队前往受害者家中。 该文件称，当J.W.得知所谓的威胁时，她将“Sasser列为嫌疑人”，并说Sasser和她的丈夫在搬到阿拉巴马州之前是徒步旅行（远足）的朋友。 根据宣誓书，D.W.告诉调查人员，他和Sasser在约会网站Match.com上认识，她通过帮忙预订旅馆和休息点并在他离开时照看他的车辆来帮助他完成阿巴拉契亚步道的徒步旅行。 去年秋天，D.W.告诉Sasser他与J.W.订婚后，Sasser前往他在阿拉巴马州的住所。 J.W.报告说，她的车似乎被人用钥匙撬过，并且她接到了一个使用电子设备伪装声音的人打来的“不愉快的电话”。宣誓书称，“威胁”电话来自无法追踪的计算机生成的电话号码和互联网电话。 Sasser被指控在健身应用Strava上监控这对夫妇的行踪和活动，该应用已连接到他们的智能手表并共享位置数据。 当局称，“Online Killers Market”（在线杀手市场）声称在全球拥有12000名注册会员，提供的服务还包括“黑客攻击、绑架、勒索、泼酸毁容和性暴力”。 刑事起诉书称，该网站包括一个内部消息系统，供用户与接单杀手、管理员或其他用户联系。正是在那里，当局指控Sasser以“cattree”为昵称，曾多次向Online Killers Market发送消息，表达了对这项工作尚未完成的失望。 法庭文件显示，3月22日，“cattree”发来一条消息称，“我已经等了2个月零11天，工作没有完成”。 “2个星期前，你说它已经开始工作，将在一个星期内完成。该工作仍然没有完成。是否需要把它分配给其他人。会不会做，拖延的原因是什么。”根据刑事起诉书，她补充说：“什么时候能完成。” 管理员回应说，这项任务对于同意做这项工作的人来说风险太大。 管理员说：“我可以指派另外两名杀手来完成这项工作。”他指出，两人都想要更多的比特币来完成这项工作。在3月29日的消息中，“cattree”同意支付更多费用：“我将增加比特币。” Sasser于5月18日被捕，目前被关押在监狱中，等待她于周四下一次出庭。 她的律师没有回复置评请求。