<div id="post_message_794312">

Они придумали, как обмануть почту, банки и антивирусы, но не справились с календарём.<br/>
<br/>
В Пакистане <a href="https://www.dawn.com/news/1911691" target="_blank">задержана </a>группа из 21 человека, которых обвиняют в организации и многолетней работе над Heartsender — одним из крупнейших киберпреступных сервисов, специализировавшихся на распространении вредоносного ПО и спама . Сервис действовал более десяти лет, предоставляя преступным группам по всему миру инструменты для атак через электронную почту, особенно в схемах компрометации деловой переписки (BEC). Клиентами платформы становились транснациональные преступные сети, маскирующие себя под легальные компании, чтобы вводить жертв в заблуждение и выманивать крупные суммы.<br/>
<br/>
По данным Национального агентства по расследованию киберпреступлений Пакистана (NCCIA), аресты прошли 15 и 16 мая 2025 года в городах Лахор и Мултан. Операции были сосредоточены в районе Бахрия-Таун, где находилась часть офисной инфраструктуры подозреваемых. Представители NCCIA заявили, что ущерб от деятельности сервиса превысил 50 миллионов долларов только в США, при этом в Европе расследуются ещё 63 инцидента с аналогичным почерком. Подчёркивается, что речь идёт не просто о технической платформе, а о «киберпреступном университете», который снабжал мошенников всего мира готовыми решениями для атак.<br/>
<br/>
Heartsender продвигался через открытую главную страницу сайта, где прямо рекламировались фишинговые наборы , ориентированные на пользователей популярных онлайн-сервисов: Microsoft 365, Yahoo, AOL, Intuit, iCloud и ID.me. Помимо основного бренда, та же команда управляла другими торговыми марками — Fudpage, Fudtools и множеством других, содержащих аббревиатуру «fud». Этот термин, сокращение от «Fully Un-Detectable», в сленге преступного мира означает невидимость вредоносного кода для антивирусных решений и фильтров спама.<br/>
<br/>
Службы безопасности США уже в январе 2025 года провели совместную с голландской полицией операцию по <a href="https://www.politie.nl/nieuws/2025/januari/27/09-verstoringsactie-deelt-klap-uit-aan-crimineel-cybernetwerk-heartsender.html" target="_blank">захвату </a>технической инфраструктуры Heartsender. В ходе расследования выяснилось, что основной функционал платформы активно использовался для атак BEC — преступники внедрялись в деловую переписку, подменяли счета и вынуждали компании переводить деньги на контролируемые ими банковские реквизиты.<br/>
<br/>
Центральной фигурой в <a href="https://krebsonsecurity.com/2025/05/pakistan-arrests-21-in-heartsender-malware-service/" target="_blank">расследовании </a>стал Рамиз Шахзад — предполагаемый лидер Heartsender, ранее возглавлявший также компании под названиями The Manipulaters и WeCodeSolutions. В 2021 году он уже оказывался в поле зрения журналиста Брайана Кребса, после того как сам случайно заразил собственные компьютеры шпионским ПО, что позволило установить его реальную личность и Facebook-страницу. Именно от лица Шахзада, действовавшего под псевдонимом «Saim Raza», в редакцию KrebsOnSecurity неоднократно поступали письма с требованиями удалить публикации. Последнее такое сообщение пришло в ноябре 2024 года, где утверждалось, что он оставил киберпреступный бизнес после стычки с полицией.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/162/7lzivs9utb2w428hz2hcpfn921n55hly.png"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Некоторые из основных разработчиков и продавцов Heartsender позируют на тренировочной прогулке в 2021 году (KrebsOnSecurity)

</td>
</tr>
</table>
</div>Компания The Manipulaters, предшественник Heartsender, вела довольно открытую деятельность ещё в середине 2010-х годов, рекламируя свои услуги прямо на популярных форумах киберпреступников. Ситуация изменилась в 2019 году, когда администраторы забыли продлить основной домен manipulaters[.]com, и его перехватила американская аналитическая компания Scylla Intel. С этого момента аналитики стали получать всю входящую почту, предназначенную для преступной группы, что в итоге позволило детально реконструировать их деятельность.<br/>
<br/>
К 2024 году Heartsender допустил очередную критическую ошибку: веб-интерфейс утекал огромное количество данных без аутентификации. Специалисты DomainTools зафиксировали, что сайт раскрывал внутренние учётные записи сотрудников, логины клиентов, переписку и структуру бизнес-операций. Более того, анализ заражённых машин сотрудников показал, что группа допускала множество оплошностей в собственной безопасности, в том числе хранила на рабочих компьютерах информацию о клиентах и деталях преступной инфраструктуры.<br/>
<br/>
Среди арестованных вместе с Рамизом Шахзадом оказался и его отец Мухаммад Аслaм. Остальные задержанные также причастны к техническому обеспечению сервиса, его распространению, сопровождению клиентов и, как полагают следователи, — координации атак. Расследование продолжается, и международные правоохранительные органы ожидают, что на основе полученных данных будут возбуждены новые дела в других странах. Объёмы собранной информации позволяют надеяться на более широкую деконструкцию преступной инфраструктуры, которая десятилетие оставалась в тени и влияла на сотни компаний по всему миру.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559847.php" target="_blank">@ SecurityLab </a>
</div>