Начал это писать после (не личной) просьбы BabaDook'a сделать свое расследование и помочь админу.
Я не стану писать что экс-модер мульт или-же утверждать что он и вправду связан с недавним арбитражем spect'a, лиш приведу здесь инфу которую я заметил за послед. пару дней.
Я хочу рассмотреть 4 профиля это:
0xd3ad - exploit.in (статус - кидала) рег. 23 марта 2018
FreeWar - exploit.in / xss.pro (статус - кидала) рег. 6.11.2018 / 12.11.2018
2c71e9 - xss.pro рег. 19.04.2019
peacemaker - xss.pro рег. 18.01.2020
в процессе также добавил и:
BFG - xss.pro рег. 20.10.2019 (статус - кидала)
-
Начнем.
Блек я впервые увидел на экспе. // https://exploitinqx4sjro.onion/topic/168967/
Там истец запостил ссылку на шоп который "кодер" писал. // http://199.188.203.57/auth/login
Я зашел и в футере, справа внизу увидел ссылки на Source Code и также надпись "in dev". Ссылка ведет на:
Проходим по ней, и видим типичный сервер Гогс который захостили в Торе.
-
Захожу на хсс и обращяю внимание на то что 2c71e9 разбирается в андроиде. тут я вспоминаю посты не очень приятного чела которого я видел на экспе пару месяцев назад, который также разбирался в андроиде и также использовал Гогс который хостится в Торе - 0xd3ad // https://exploitinqx4sjro.onion/profile/86399-0xd3ad
-
Смотрю его сообщения натыкаюсь на это, память не изменила, и вправду гит в торе. // https://exploitinqx4sjro.onion/topic/144905
ниже пишет:
"это все приведем в порядок, хочу просто структурировать, надоел хлам на компах."
Иду обратно в профиль 2c71e9 нахожу тему: http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/35070
первое предложение:
"В общем решил чуток структурировать исходники."
-
на экспе в топике 0xd3ad-а // я заметил это:
Open Sources Malware git
Типа такого я уже видел у 2c71e9 // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/35070/
-
Читаю топ дальше, пишет благодарность peacemaker'у, захожу к нему в профиль.
Первое сообщение аккаунта, не здарсти не привет а сообщение в профиле:
"Open git hub http://snw2i6zk7htxx7dtejpc7mq7omk7zxkpoczi3k6af3rmpmuxfvig2rid.onion/ " т.е реклама своего гита.
хмм, именно на этот гит и ссылауются линки из шопа который писал "кодер".
захожу на следущ. сообщение. ок это топик: http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/34704/
"Free Coin Mixer"
описание подозрительное, пишут про алгоритм но никаких тех.деталей. у этого сообщения 1 лайк и он от 2c71e9.
Мне стало интересно и я зашел на сайт этого миксера: http://klhqxgsd4dxsosyarlj3zmutvouk4fhaynxgdl35mh25ui7wfcjrkhid.onion/
и я вижу сайт (дизайн) идентичный с тем что есть на шопе который писал "кодер" // http://199.188.203.57/auth/login
ссылки в футере ведут на тот-же гит также пристутсвует надпись "in dev".
(также в "Среда в 13:34" когда на 2c71e9 уже был написан блек, он всех игнорируя идет и ставит лайк peacemaker'у, блек написан во "Вторник 23:42)
peacemaker видимо не с кем не общается. что также очень подозрительно.
-
затем иду на смотреть его сомнительный обзор андроид малвари от BFG // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/33588/
вижу скрин панели:
этоже снова тот-же дизайн что и на миксере peacemaker-а:
обратите внимание на шрифты, выборку цветов, на верхню панель, это несомненно один и тот-же фреймворк.
но в данном случае я считаю что панель была нарисована прямо в браузере, меняя хтмл код. исходники панели также выложены не были.
-
подсказал добрый чел. в пм то что я упустил:
идем в ветку 0xd3ad // https://exploitinqx4sjro.onion/topic/140908/
внизу он отписал некий дисклеймер (см.скрин)
а теперь идем в ветку 2c71e9 // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/34882
и видим дисклеймер который расписан почти 1в1 (скрин ниже)
-
Ищу на экспе 0xd3ad надеюсь найти что-то новое. нахожу этот топ: https://exploitinqx4sjro.onion/topic/151380/?page=2&tab=comments#comment-966339
Rello в ответ FreeWar пишет:
"Да и вообще, опять я вижу старые добрые слова 0xd3ad, прям 1 в 1. Чудеса да и только".
-
Теперь изучаю профиль FreeWar
смотрю его профиль на xss.pro // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/members/174914/#about
в подписи (снова!) ссылка на гит который хостится в торе: http://qxklmrhx7qkzais6.onion/freewar
-
решил сопоставить подписи:
FreeWar
2c71e9
немного похоже но не сказал бы что 1 в 1
-
в подписи пишет про coru.ws, 0xd3ad тоже писал про кору, не уж то на кору столько мобильных професионалов?
-
FreeWar продовал бота: https://exploitinqx4sjro.onion/topic/151380/
я нашел интересную деталь:
прочитайте условия, 4 клиента!
а теперь я иду смотреть топик бота который был на обзоре у 2c71e9после чего кого-то кинули // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/32847/
и что я вижу!? снова напоминание о 4х клиентах! (это как я понял, чтоб мотивировать на спешку клиентов)
т.е FreeWar = BFG
-
также еще один забаненный амер пишет что FreeWar = 0xd3ad // https://exploitinqx4sjro.onion/topic/149287/?tab=comments#comment-949208
и что у них одинаковые подписи, сейчас подписи заменены на записку о причине бана, но возможно прежнюю версию модераторы могут всеже видеть. я не уверен на этот счет.
-
за все это время также прошелся по многим (но не всем) арбитражам на эти имена и заметил что в качестве "отмазки" или для того чтоб тянуть время, все они FreeWar / 0xd3ad / "кодер" (из арбитража spect'a)
используют слово: фиксы (починки)
кодер (из арбитража spect'a) пишет:
0xd3ad в топиках арбитража пишет:
а вот что пишет FreeWar в топиках арбитража:
Я не верю что это все случайности, столько связей и все это попросу не может быть случайностями или-же расцениватся как догадки.
Просмотрев и прочитав все это я сделал для себя вывод что экс-модератор кидала и мультовод.
Я надеюсь это упростит админу его расследование и он может сделать свои выводы, мне честно жаль что этот ублюдок смог вырватся в модеры и кинуть кого-то.
На этом у меня. все, мне надо терь немного вздремнуть.
оу, чуть не забыл упомянуть, я незнаю насколько инфа достоверная но на экспе: https://exploitinqx4sjro.onion/topic/153926/
лежит полный докс этого крысеныша.
апд. вовсе убрал хайд, думаю он не к чему
апд2. также хочу обратить внимание на то что сейчас он отрицает знакомства с "кодером" и вообще с истцом называя его наркоманом хотя он сам подтвердил что рекомендовал ему кодера:
Я не стану писать что экс-модер мульт или-же утверждать что он и вправду связан с недавним арбитражем spect'a, лиш приведу здесь инфу которую я заметил за послед. пару дней.
Я хочу рассмотреть 4 профиля это:
0xd3ad - exploit.in (статус - кидала) рег. 23 марта 2018
FreeWar - exploit.in / xss.pro (статус - кидала) рег. 6.11.2018 / 12.11.2018
2c71e9 - xss.pro рег. 19.04.2019
peacemaker - xss.pro рег. 18.01.2020
в процессе также добавил и:
BFG - xss.pro рег. 20.10.2019 (статус - кидала)
-
Начнем.
Блек я впервые увидел на экспе. // https://exploitinqx4sjro.onion/topic/168967/
Там истец запостил ссылку на шоп который "кодер" писал. // http://199.188.203.57/auth/login
Я зашел и в футере, справа внизу увидел ссылки на Source Code и также надпись "in dev". Ссылка ведет на:
Проходим по ней, и видим типичный сервер Гогс который захостили в Торе.
-
Захожу на хсс и обращяю внимание на то что 2c71e9 разбирается в андроиде. тут я вспоминаю посты не очень приятного чела которого я видел на экспе пару месяцев назад, который также разбирался в андроиде и также использовал Гогс который хостится в Торе - 0xd3ad // https://exploitinqx4sjro.onion/profile/86399-0xd3ad
-
Смотрю его сообщения натыкаюсь на это, память не изменила, и вправду гит в торе. // https://exploitinqx4sjro.onion/topic/144905
ниже пишет:
"это все приведем в порядок, хочу просто структурировать, надоел хлам на компах."
Иду обратно в профиль 2c71e9 нахожу тему: http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/35070
первое предложение:
"В общем решил чуток структурировать исходники."
-
на экспе в топике 0xd3ad-а // я заметил это:
Open Sources Malware git
Типа такого я уже видел у 2c71e9 // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/35070/
-
Читаю топ дальше, пишет благодарность peacemaker'у, захожу к нему в профиль.
Первое сообщение аккаунта, не здарсти не привет а сообщение в профиле:
"Open git hub http://snw2i6zk7htxx7dtejpc7mq7omk7zxkpoczi3k6af3rmpmuxfvig2rid.onion/ " т.е реклама своего гита.
хмм, именно на этот гит и ссылауются линки из шопа который писал "кодер".
захожу на следущ. сообщение. ок это топик: http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/34704/
"Free Coin Mixer"
описание подозрительное, пишут про алгоритм но никаких тех.деталей. у этого сообщения 1 лайк и он от 2c71e9.
Мне стало интересно и я зашел на сайт этого миксера: http://klhqxgsd4dxsosyarlj3zmutvouk4fhaynxgdl35mh25ui7wfcjrkhid.onion/
и я вижу сайт (дизайн) идентичный с тем что есть на шопе который писал "кодер" // http://199.188.203.57/auth/login
ссылки в футере ведут на тот-же гит также пристутсвует надпись "in dev".
(также в "Среда в 13:34" когда на 2c71e9 уже был написан блек, он всех игнорируя идет и ставит лайк peacemaker'у, блек написан во "Вторник 23:42)
peacemaker видимо не с кем не общается. что также очень подозрительно.
-
затем иду на смотреть его сомнительный обзор андроид малвари от BFG // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/33588/
вижу скрин панели:
этоже снова тот-же дизайн что и на миксере peacemaker-а:
обратите внимание на шрифты, выборку цветов, на верхню панель, это несомненно один и тот-же фреймворк.
но в данном случае я считаю что панель была нарисована прямо в браузере, меняя хтмл код. исходники панели также выложены не были.
-
подсказал добрый чел. в пм то что я упустил:
идем в ветку 0xd3ad // https://exploitinqx4sjro.onion/topic/140908/
внизу он отписал некий дисклеймер (см.скрин)
а теперь идем в ветку 2c71e9 // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/34882
и видим дисклеймер который расписан почти 1в1 (скрин ниже)
-
Ищу на экспе 0xd3ad надеюсь найти что-то новое. нахожу этот топ: https://exploitinqx4sjro.onion/topic/151380/?page=2&tab=comments#comment-966339
Rello в ответ FreeWar пишет:
"Да и вообще, опять я вижу старые добрые слова 0xd3ad, прям 1 в 1. Чудеса да и только".
-
Теперь изучаю профиль FreeWar
смотрю его профиль на xss.pro // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/members/174914/#about
в подписи (снова!) ссылка на гит который хостится в торе: http://qxklmrhx7qkzais6.onion/freewar
-
решил сопоставить подписи:
FreeWar
2c71e9
немного похоже но не сказал бы что 1 в 1
-
в подписи пишет про coru.ws, 0xd3ad тоже писал про кору, не уж то на кору столько мобильных професионалов?
-
FreeWar продовал бота: https://exploitinqx4sjro.onion/topic/151380/
я нашел интересную деталь:
прочитайте условия, 4 клиента!
а теперь я иду смотреть топик бота который был на обзоре у 2c71e9после чего кого-то кинули // http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/32847/
и что я вижу!? снова напоминание о 4х клиентах! (это как я понял, чтоб мотивировать на спешку клиентов)
т.е FreeWar = BFG
-
также еще один забаненный амер пишет что FreeWar = 0xd3ad // https://exploitinqx4sjro.onion/topic/149287/?tab=comments#comment-949208
и что у них одинаковые подписи, сейчас подписи заменены на записку о причине бана, но возможно прежнюю версию модераторы могут всеже видеть. я не уверен на этот счет.
-
за все это время также прошелся по многим (но не всем) арбитражам на эти имена и заметил что в качестве "отмазки" или для того чтоб тянуть время, все они FreeWar / 0xd3ad / "кодер" (из арбитража spect'a)
используют слово: фиксы (починки)
кодер (из арбитража spect'a) пишет:
-
0xd3ad в топиках арбитража пишет:
а вот что пишет FreeWar в топиках арбитража:
Я не верю что это все случайности, столько связей и все это попросу не может быть случайностями или-же расцениватся как догадки.
Просмотрев и прочитав все это я сделал для себя вывод что экс-модератор кидала и мультовод.
Я надеюсь это упростит админу его расследование и он может сделать свои выводы, мне честно жаль что этот ублюдок смог вырватся в модеры и кинуть кого-то.
На этом у меня. все, мне надо терь немного вздремнуть.
оу, чуть не забыл упомянуть, я незнаю насколько инфа достоверная но на экспе: https://exploitinqx4sjro.onion/topic/153926/
лежит полный докс этого крысеныша.
апд. вовсе убрал хайд, думаю он не к чему
апд2. также хочу обратить внимание на то что сейчас он отрицает знакомства с "кодером" и вообще с истцом называя его наркоманом хотя он сам подтвердил что рекомендовал ему кодера:
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/35325/post-211658
Последнее редактирование:
