Profiling Трафферы: GhostBusters (MMM)

g0njxa
22 min readApr 4, 2024

--

In the infostealer ecosystem, there are communities of malware operators spreading its malicious builds in a daily basis, working under a common organization, more known as a team.

In this blog series I will be exposing very briefly the activity of some of these “traffers teams”: what they did, what are they doing and what they will do in the future. If possible, I’ll let them to talk freely in a quick interview.

Today, GhostBusters:

GhostBusters is a traffer team specialized at working with infostealers. There are records of his activity since July 19, 2023 and is still active. It is managed by ”Mavr_MMM”

Heads — The interview

Once I contacted the administration, I was blocked instantly.

There will be no interview with the GhostBuster Team. What are they afraid of?

Tails — The overview

~ Advertisements

The “GhostBusters” team is advertised at Zelenka forum:
MMM|LummaC2 stealer META|FUD CRYPT/LOADER|CRYPTO CHECKER|DON’T CUT LOGS — Social Engineering Forum — Zelenka.guru (Lolzteam)

It offers the opportunity to work with stealers (providing free crypted builds), and free SEO.
Profit is mainly get from cryptocurrencies stolen from the victims logs you get (On a 30% fee given to the team). Team alledgely doesn’t take any requests. Everyone is invited to join the team, with or without prior experience.

~ Managing the Telegram Bot

The operations of the team are managed by https://t.me/GhostBustersTEAM_bot

Applying to join the team

You don’t need to fill an application on the team. Instead, you will be received with this statement and you need to solve a math captcha:

Приветствуем 👋

👉 Мы команда AO “MMM”, основанная в далеком 1989м году, и конечно, по напутствию Сергея Пантелеевича Мавроди наши направления — это скам криптобиржи, криптовалютный скам на обмене и пролив трафика на малв.
👉 Мы набираем партнеров, которые готовы хорошо зарабатывать и уделять этому достаточное количество времени.
👉 Мы предоставляем лучшие инструменты на рынке, чтобы твоя работа была максимально автоматизирована, эффективна и прибыльна.

❓ В чем суть наших проектов?
1️⃣ — завести 🦣 на сайт чтобы он внес депозит, дополнительно обработать его на повторные депозиты.
2️⃣ — доставить файл 🦣 на ПК. После запуска мы вычистим всю крипту под 0 и оставим его плакать.

🤨 Так всё же, почему ты должен выбрать нас?
1️⃣ Мы очень похожи с тобой: у нас общая цель — прибыль
2️⃣ Постоянные обновления от мощной команды разработчиков
3️⃣ Автоматический саппорт в лице великого и не повторимого: самого Сергея Пантелеевича и его несменных помощников капитализма и буржуазии
4️⃣ Постоянные ивенты и розыгрыши
5️⃣ Лучший функционал на рынке, не хватит нескольких часов, чтобы описать его, при этом он постоянно обновляется.
6️⃣ Быстрый карьерный рост с 70%, вплоть до 90%
7️⃣ Несколько рабочих направлений, таких как: биржа, обменник, NFT и малвари
8️⃣ Заинтересовало? Отправь в ответ на это сообщение, сколько будет 77 + 65?

©️ «сегодня всегда дороже, чем вчера»

English Translation

Welcome 👋

👉 We are the team of AO “MMM”, founded back in 1989, and of course, at the direction of Sergei Panteleevich Mavrodi, our directions are crypto exchange scams, cryptocurrency exchange scams and traffic flow to Malva.
👉 We are recruiting partners who are ready to earn good money and devote enough time to it.
👉 We provide the best tools on the market so that your work is as automated, efficient and profitable as possible.

❓ What is the essence of our projects?
1️⃣ — enter 🦣 on the site so that it makes a deposit, and additionally process it for repeated deposits.
2️⃣ — deliver the file 🦣 to your PC. After the launch, we will clear the entire crypt under 0 and leave it to cry.

🤨 So, why should you choose us?
1️⃣ We are very similar to you: we have a common goal — profit
2️⃣ Constant updates from a powerful development team
3️⃣ Automatic support in the person of the great and unrepeatable: Sergei Panteleevich himself and his permanent assistants of capitalism and the bourgeoisie
4️⃣ Regular events and giveaways
5️⃣ The best functionality on the market, several hours are not enough to describe it, and it is constantly updated.
6️⃣ Fast career growth from 70%, up to 90%
7️⃣ Several working areas, such as: exchange, exchanger, NFT and malware
8️⃣ Interested? Send in response to this message what is 77 + 65?

©️ “today is always more expensive than yesterday”

After that, you are part of the team.

The functionality of the bot is written in Russian, I will be providing both original and translated screenshoots.

Everything is detailed by “manuals” (or in the same Zelenka thread) written by the team administration:
Ghost Busters Team | Мануалы — Teletype

Summarizing,

The bot has the following sections:

On the Биржа / “Exchange” section you will find:

(A message is shown once we enter this section:
Это направление ещё находится на стадии разработки / This direction is still under development)

Some commands seems not working

“Domain” shows a message:
Актуальный домен мамонта: google.com
Current Mammoth domain: google.com

And tools show this, but not working

This sections seems abandoned. And I say this because of the announcements received back in time, referring to this kind of activity. Maybe in the future they will open them again, or they are now just available to only few reliable people.

On the NFT and Обменник / “Exchanger” sections you will find

(A message is shown once we enter these sections:
Это направление ещё находится на стадии разработки / This direction is still under development)

Nothing, no commands. Same as before.

On the Стиллер / “Stealer” section you will find:

Your Profile on the team:

Information on the team rules:

👻 GhostBusters 👻 Rules — Telegraph

And also information on the currency used by this bot, the “Caspers”
(1 Casper = 4 Russian Rubles)

👻 Наша новая бонусная система заданий! 👻

Вы можете дополнительно заработать Касперов (👻) за свои старания и обменять их в боте на SEO, YT Каналы и Залив Ваших видео и Уникальный Крипт, либо же продать их нам! 🤑

Мы добавили рублевый счет в профиле.
Курс обмена:
💵 1 Каспер = 4 рубля 💵
❗️ВНИМАНИЕ❗️
Минимальна сумма обмена: 100 Касперов (👻)

😎 Наши ЕЖЕДНЕВНЫЕ задания 😎

1. Рекорд дня по количеству кук в логе. Приз: 5 👻
2. Рекорд дня по количеству пассов в логе. Приз: 5 👻
3. Рекорд дня по количеству холодков в логе. Приз: 5 👻
4. Получить от 10 логов за сутки. Приз: 1 👻
5. Получить от 30 логов за сутки. Приз: 3 👻
6. Получить от 50 логов за сутки. Приз: 5 👻
7. Получить от 100 логов за сутки. Приз: 10 👻
8. Получить от 200 логов за сутки. Приз: 20 👻
9. Получить от 300 логов за сутки. Приз: 30 👻
10. Получить от 500 логов за сутки. Приз: 50 👻

😎 Наши ЕЖЕНЕДЕЛЬНЫЕ задания 😎

1. Получить от 1000 логов за неделю. Приз: 100 👻
2. Получить от 3000 логов за неделю. Приз: 300 👻
3. Получить от 5000 логов за неделю. Приз: 500 👻
4. Получить от 10000 логов за неделю. Приз: 1000 👻

_____________________
• Важно понимать:
— Касперы так же как и раньше зачисляются на Ваш баланс за каждый лог, который ещё не был в панели. Награда от заданий идет как дополнительная награда за Вашу работу.
— Мы не платим Вам за логи! Бонусные выплаты происходят из нашего понимания, что вы и так несете на себе ощутимые расходы. Все логи и все запросы по прежнему доступны Вам в полном объеме.

P.S. Время подведения итогов:
— Ежедневные бонусы — каждый день в 00:00
— Еженедельные бонусы — с воскресенья на понедельник в 00:00

English translation

👻 Our new bonus task system! 👻

You can additionally earn Kaspers (👻) for your efforts and exchange them in the bot for SEO, YT Channels and Uploading your videos and Unique Crypt, or sell them to us! 🤑

We have added a ruble account to your profile.
Exchange rate:
💵 1 Casper = 4 rubles 💵
❗️ATTENTION❗️
Minimum exchange amount: 100 Kaspers (👻)

😎 Our DAILY tasks 😎

1. Record of the day for the number of cookies in the log. Prize: 5 👻
2. Record of the day for the number of passes in the log. Prize: 5 👻
3. Record of the day for the number of chills in the log. Prize: 5 👻
4. Get at least 10 logs per day. Prize: 1 👻
5. Get from 30 logs per day. Prize: 3 👻
6. Get from 50 logs per day. Prize: 5 👻
7. Get from 100 logs per day. Prize: 10 👻
8. Get from 200 logs per day. Prize: 20 👻
9. Get from 300 logs per day. Prize: 30 👻
10. Get from 500 logs per day. Prize: 50 👻

😎 Our WEEKLY tasks 😎

1. Get at least 1000 logs in a week. Prize: 100 👻
2. Get from 3000 logs in a week. Prize: 300 👻
3. Get from 5000 logs in a week. Prize: 500 👻
4. Get 10,000 logs in a week. Prize: 1000 👻

_____________________
• It is important to understand:
— Caspers, as before, are credited to your balance for each log that has not yet been in the panel. The reward from tasks comes as an additional reward for your work.
— We don’t pay you for logs! Bonus payments come from our understanding that you are already incurring significant costs. All logs and all requests are still available to you in full.

P.S. Time for summing up:
— Daily bonuses — every day at 00:00
— Weekly bonuses — from Sunday to Monday at 00:00

These caspers are used to pay for the SEO service.

Внимание!
Стоимость в меню:
Куки 40 касперов 👻
Накрутка СЕО 11 касперов 👻
Залив видео: YT Turbo 15 касперов 👻, YouLabs 6 касперов👻
Что это такое и как ими пользоваться можете прочесть в мануале ниже.

Attention!
Menu price:
Cookies 40 Caspers 👻
Cheat SEO 11 Caspers 👻
Video upload: YT Turbo 15 caspers 👻, YouLabs 6 caspers👻
You can read what they are and how to use them in the manual below.

SEO Lookups are made by https://t.me/CheckSEOBot. If we take a random video that we all know is sharing malware, it looks like this:

The “Request build + crypt” section gives you the option to generate an infostealer build, protected with a crypter that you chose with only two clicks of effort, and ready to be used in the wild.

They only work with META stealer atm.
But they allow me to choose the file format of the build? And the weigth of the file (file pumping)!!

And you will receive a build in a .zip file ready to be used

In fact, there is only two file formats, a raw .exe and a Screensaver (.scr) format that is using some encoding tricks I saw in the past.

https://x.com/g0njxa/status/1724043585425645717

And they also provides you with an AVCheck scan link.

Also please find the announcements provided on the bot since September 2023:

September 8, 2023
Всем привет! Хочу объявить об открытие набора в команду для стиллера Lummac2- он обещает высочайший 90% отстук и просто классный продукт со своей веб панелью и ручным криптом 🅰️

Все пишите @GhostBustersKING ко мне в личку кто хочет полить на неё
У вас обязательно должен быть опыт в проливах,извините но без опыта не берем
Hi all! I want to announce the opening of recruitment for the team for the stealer Lummac2 — it promises the highest 90% response and just a cool product with its own web panel and manual crypt 🅰️

Everyone write @GhostBustersKING to me in a personal message who wants to pour on her
You must have experience in the straits, sorry, but we don’t take you without experience

September 9, 2023
Привет 👋🏻

У нас есть новость для тебя! Теперь у нас есть LummaC2 и мы предлагаем тебе проливаться на выгодных условиях.

С нас:

1️⃣ Качественный ручной крипт. Теперь твой билд не будет палиться хромом и вд, что отлично подойдет как под массовые, так и под точечные атаки. Имеется возможность поставить кастомную. В сжатом виде вес архива — 100мб.

2️⃣ Авто-отработка эфиро-подобных кошельков, с авто-снятием и зачислением монет и токенов.

3️⃣ Полный доступ к веб-панели LummaC2, где ты сам (по своей личной ссылке) будешь мониторить и получать добытые логи.

С тебя:

1️⃣ Актив!!! Мы работаем с ребятами, которые могут занести от 50 логов в сутки 🏆

2️⃣ Никакого СНГ трафика ❌

3️⃣ С каждого добытого тобой холодка мы забираем свои от 30–50% (от суммы, после выплаты за услугу бруттеру) 🥶

Ждем тебя в нашей команде ❤️

Hello 👋🏻

We have news for you! Now we have LummaC2 and we offer you to pour on favorable terms.

From us:

1️⃣ High-quality manual crypt. Now your build will not be burned by chrome and HP, which is perfect for both mass and targeted attacks. It is possible to install a custom one. In compressed form, the weight of the archive is 100MB.

2️⃣ Auto-processing of ether-like wallets, with auto-withdrawal and crediting of coins and tokens.

3️⃣ Full access to the LummaC2 web panel, where you yourself (via your personal link) will monitor and receive the extracted logs.

With you:

1️⃣ Active!!! We work with guys who can make from 50 logs per day 🏆

2️⃣ No CIS traffic ❌

3️⃣ From every cold thing you get, we take ours from 30–50% (of the amount, after paying for the service to the brutter) 🥶

We are waiting for you in our team ❤️

September 12, 2023

Привет 👋🏻

У нас есть новость для тебя! Объявлен набор на крипто-skum биржу и выгодные условия

Всех желающий ждем в гости делимся 70/30% нам
Первые 10 депозитов 🏆 100%

Ознакомиться можно тут

Ждем тебя в нашей команде ❤️
Hello 👋🏻

We have news for you! Recruitment for the crypto-skum exchange and favorable conditions announced

We welcome everyone to visit, we share 70/30% with us
First 10 deposits 🏆 100%

You can find it here

We are waiting for you in our team ❤️

September 15, 2023

Открыт новый набор на Meta Stealer 2.0

С нас:
1️⃣ Качественный Ручной крипт:
- Полный Обход Defender
- Полный Обход Chrome

2️⃣ Авто-отработка эфиро-подобных кошельков, с авто-снятием и зачислением монет и токенов

3️⃣ Коллектив, который поможет тебе с любыми вопросами

4️⃣ Ваш билд будет жить до 2х недель

С Вас:

1️⃣ Актив!!! Мы работаем с ребятами, которые могут занести от 50 логов в сутки 🏆

2️⃣ Никакого СНГ трафика ❌

3️⃣ С каждого добытого тобой холодка мы забираем свои от 30–50% (от суммы, после выплаты за услугу бруттеру) 🥶

A new set of Meta Stealer 2.0 has been opened
From us:
1️⃣ High-quality Manual crypt:
- Full Defender Bypass
- Complete Chrome Bypass
2️⃣ Auto-processing of ether-like wallets, with auto-withdrawal and crediting of coins and tokens
3️⃣ Team that will help you with any questions
4️⃣ Your build will live for up to 2 weeks
From you:
1️⃣ Active!!! We work with guys who can make from 50 logs per day 🏆
2️⃣ No CIS traffic ❌
3️⃣ From every cold thing you get, we take ours from 30–50% (of the amount, after paying for the service to the brutter) 🥶
Septmeber 22, 2023
Приветствуем всех 🥳

🔥trade-crypto.money🔥

Можно регистрироваться и совершать сделки 🧑‍💻
Greetings everyone 🥳

🔥trade-crypto.money🔥

You can register and make transactions 🧑‍💻
September 24, 2023
Ищу сапортов с опытом работы на биржах в крипто-скаме оплата % от внесенных депозитов . ОПЫТ ОБЯЗАТЕЛЕН

@GhostBustersKING
new nick name TS @Mavr_MMM
I am looking for support staff with experience working on exchanges in a crypto-scam, payment is a percentage of the deposits made. EXPERIENCE IS REQUIRED
@GhostBustersKING
new nick name TS @Mavr_MMM

September 26, 2023
Приветствую! Плановые технические работы. Потребуется несколько часов
Greetings! Planned technical work. It will take several hours

September 27, 2023
Обновление❗️

• LummaC2 теперь доступна в нашем боте при выпуске билда!

• Панель люмы полностью перемещена в бота, теперь отстук приходит в него

Важно! При выпуске билда обязательно обращайте внимание на детекты (avcheck закреплен к каждому выпускаемому билду)

Крипточекер еще в процессе разработки, но завтра — послезавтра будет готов

Всем хорошего ворка и жирных логов 😉
Update❗️

• LummaC2 is now available in our bot when the build is released!

• The luma panel has been completely moved to the bot, now the tapping comes to it

Important! When releasing a build, be sure to pay attention to the detectors (avcheck is attached to each released build)

Cryptochecker is still under development, but tomorrow or the day after tomorrow it will be ready

Happy work and fat logs everyone 😉

October 3, 2023
Починили ручной крипт🎶

Все кто подавал заявки ранее на ручной крипт сделайте это еще раз
Ручной крипт теперь работает корректно
Без опыта рассчитывать на ручной крипт не стоит

©️ «сегодня всегда дороже, чем вчера»
Fixed manual crypt🎶

Anyone who has previously applied for manual crypto, please do so again.
Manual crypt now works correctly
Without experience you shouldn’t count on manual crypt

©️ “today is always more expensive than yesterday”

October 4, 2023
Добавлена привязка билда к домену и выдана привязка к авчеку для сканирования детектов на прокладке✅
Доступна на ручном крипте ⚠️

Наблюдается атака на люмму все прокладки могут моросить,наша задача подождать и все заработает опять само собой,Без паники!

Added linking of the build to the domain and a link to the alert for scanning detections on the gasket✅
Available on manual crypto ⚠️

There is an attack on the lumma; all the gaskets may drizzle, our task is to wait and everything will work again by itself, Don’t panic!

October 5, 2023
Добавлен ручной крипт для МЕТА STEALER🛠
Добавлены иконки и динамический памп 🛠
PackLab починили 🌟
Added manual crypt for META STEALER🛠
Added icons and dynamic pump 🛠
PackLab has been fixed 🌟

October 6, 2023
⚠️не забывайте делать ребилд и проверять свои прокладки на детекты это улучшит ваш отстук⚠️
⚠️советую сменить ручные крипты на обычные для более лучшего отстука⚠️
⚠️don’t forget to do a rebuild and check your pads for detectors, this will improve your performance⚠️
⚠️I advise you to change manual crypts to regular ones for better results⚠️

October 7, 2023
Напоминаем💫платим бонусы за логи 🎁
Касперы внутренняя валюта тимы которую можно выводить в рубли ☀
Добавлены иконки и динамический памп 🛠
Для LummaC2 Stealer 👽
Проверьте выдачу своего файла 🅰🅾ⓂⓂⓂ
We remind you💫we pay bonuses for logs 🎁
Caspers is the internal currency of Tima which can be withdrawn into rubles ☀
Added icons and dynamic pump 🛠
For LummaC2 Stealer 👽
Check your file output 🅰🅾ⓂⓂⓂ

October 12, 2023
Приглашаю ОПЫТНЫХ трафферов на чистую выдачу ЕХЕ
БЕЗ ПАРОЛЯ
БЕЗ АРХИВА
БЕЗ SmartScreen
Требования в сутки от 200 логов✅
НЕ ГЕЙМ⚠️
НЕ СНГ⚠️
I invite EXPERIENCED traffickers to clean EXE issuance
NO PASSWORD
WITHOUT ARCHIVE
WITHOUT SmartScreen
Requirements per day from 200 logs✅
NOT GAME⚠️
NOT CIS⚠️

October 15, 2023
Нужен дизайнер свободный прям сейчас Ⓜ️Ⓜ️Ⓜ️
Отпишите работа не пыльная
We need a free designer right now Ⓜ️Ⓜ️Ⓜ️
Write down the work is not dusty

October 17, 2023
Сделай ребилд и получи улыбку 😁стучать станет лучше 🚀
Do a rebuild and get a smile 😁your knocking will get better 🚀

November 5, 2023
Lumma WORK⚡️🚀

November 7, 2023
Люмма может не стучать технические печеньки 😵‍💫
Lumma may not knock technical cookies 😵‍💫

November 8, 2023
Апаю тему⚡️Сделаю ручной крипт за отзыв 5мест😱
Делаю крипт за отзыв 5мест 🧑‍💻
Lumma в бою 👍
РЕБИЛД ДЛЯ ЛЮММЫ ОБЯЗАТЕЛЬНО ⚠️✅
I love the topic⚡️I’ll make a manual crypt for a review of 5 places😱
I make crypto for reviewing 5 places 🧑‍💻
Lumma in battle 👍
REBUILD FOR LUMMA IS A MUST ⚠️✅

November 9, 2023
Lumma в строю все стучит шикарно🚀 хороших проливов 👻
Обязательно сделать ребилд ‼
Lumma in the ranks everything is knocking great🚀 good straits 👻
Be sure to do a rebuild!!


November 11, 2023
LummaC2 Stealer
🕊Обновление 12.11
1. Фишка с Google Accounts доступна с профессионала

Приятно радуемся и активно пользуемся не убиваемыми куками Chrome
Приятных проливов ❤️❤️❤️

Если кто не вкурсе данная обнова на LummaC2 Stealer
позволяет входить на почту даже после смены пароля потому что используются специальные куки

Приятного ворка ❤️

LummaC2 Stealer
🕊Update 12.11
1. The Google Accounts trick is available from a professional

We are pleasantly happy and actively use unkillable Chrome cookies
Have a nice strait ❤️❤️❤️

If anyone is not aware of this update on LummaC2 Stealer
allows you to log in to your email even after changing your password because special cookies are used

Happy vorka ❤️

November 12, 2023
Lumma Work 🔥

November 17, 2023
Дизайнер художник нужно нарисовать превью про крипт
цена 300р
кто хочет выполнить пишите в лс @Mavr_MMM
1 место сроки сейчас
Designer artist needs to draw a preview about crypt
price 300r
who wants to do it, write to PM @Mavr_MMM
1st place deadline now

November 20, 2023
Снижена цена на крипт до 20$
Crypto price reduced to $20

December 17, 2023
ИЗИ КРИПТ ЛОМАЕТ БИЛДЫ ‼️‼️‼️
КРИПТУЙТЕ ПАКЛАБОМ ‼️‼️‼️
ВСЕМ РЕКРИПТ ‼️‼️‼️
МОЖНО ДЕЛАТЬ РЕБИЛД НА ИЗИКЕ ВСЕ БУДЕТ РАБОТАТЬ❤️
EASY CRYPT BREAKS BUILDS ‼️‼️‼️
CRYPT WITH PACLAB ‼️‼️‼️
RECRIPT TO EVERYONE ‼️‼️‼️
YOU CAN DO A REBUILD ON IZIKE, EVERYTHING WILL WORK❤️

December 25, 2023
Открыт предзаказ на крипт+ реальный ЕВ сертификат — Вы получаете чистый ехе файл!!!
БЕЗ архивов
БЕЗ паролей
ОБЯЗАТЕЛЬНО выдача с нашего домена!
цена 350$/7дней
предоплата 1неделя вперёд/рекрипт 2 раза в неделю бесплатно
доп.рекрипт 50$
НЕ ПОДХОДИТ для you Loader
Pre-order for crypto + real EB certificate is open — you receive a clean EXE file!!!
WITHOUT archives
NO passwords
MUST be issued from our domain!
price 350$/7 days
prepayment 1 week in advance/rescript 2 times a week free
additional rescript 50$
NOT SUITABLE for you Loader

January 15, 2024
объявлен набор в приватный поток трафферов, вы получите чистый ЕХЕ файл+ EV сертификат , больше никаких проблем с выдачей файла, никаких проблем с смарт скрином, файл полностью чистый fUD
от вас это делать обьем логов от 200 штук в сутки, все логи вам мы забираем только 30% с крипты, все заинтересованные пишем в чат и подтверждаем свою квалификацию 🎗
recruitment has been announced for the private stream of traffickers, you will receive a clean EXE file + EV certificate, no more problems with issuing the file, no more problems with the smart screen, the file is completely clean fUD
from you to do this, the volume of logs is from 200 pieces per day, we take all the logs for you only 30% of the crypto, everyone interested write in the chat and confirm your qualifications 🎗

January 18, 2024
НОВЫЙ ОБЯЗАТЕЛЬНЫЙ ПОСЛЕДНИЙ РЕБИЛД НА МЕТЕ ‼️
Все кто льет на мету обязательный ребилд улучшено качество стука и сбора файлов грабера 🦹‍♂️
Кто не делал ребилд после 7:20 по мск
ВСЕМ ОБЯЗЯТЕЛЬНЫЙ РЕБИЛД ‼️
СТУЧАТЬ НЕ БУДЕТ ВООБЩЕ ‼️
NEW MANDATORY LATEST REBUILD ON THE METА ‼️
Everyone who is pouring a mandatory rebuild on the meta has improved the quality of knocking and collecting grabber files 🦹‍♂️
Who hasn’t done a rebuild after 7:20 Moscow time?
MANDATORY REBUILD FOR EVERYONE ‼️
THERE WILL BE NO KNOCKING AT ALL!!

January 20, 2024
Мета+изик может плохо стучать 🎰
Смените билд на мета+РАСК👍
Meta+izik can knock badly 🎰
Change the build to meta+RASK👍

February 5, 2024
Сожалеем но нам придется отказаться от lumma приятной работы на META 👻
We are sorry but we will have to give up lumma pleasant work at META 👻

February 11, 2024
Добавили промокоды на YT TURBO🔥🔥🔥
Added promotional codes for YT TURBO🔥🔥🔥

February 15, 2024
Обновите билды до версии от 1го февраля, скоро будет фикс ⚠️
Всем обязательный ребилд ! Старые билды не стучат !
Update your builds to the version dated February 1st, there will be a fix soon ⚠️
Mandatory rebuild for everyone! Old builds don’t knock!

~ Otctyk

The records on the Ghostbusters otctyk channel looks like these ones:
English words are translations, original message are russian words

Ⓜ️ Meta Stealer Ⓜ️
Номер — # (Number)

👨‍💻 Воркер — (Worker)
🏳️ IP —
🔐 Запросы в паролях — (Requests on passwords)
🍪 Запросы в куках — (Requests on cookies)
🎛 Был в панели? — (Unique?)
🌎 Страна — (Country)
💻 Система — (System)

💸 Пароли|Куки|Карты|Холодные кошельки — (Passwords|Cookies|Cards|Cold wallets)

There are records from this team since July 19, 2023. The total amount of unique IPS that can be found on here is: 73174

Check the full summarization here: IP Summarization Results of 73174 IPs — IPinfo.io

Sorted by countries:

United States
8157 IPs
Brazil
6857 IPs
Germany
4105 IPs
Poland
3817 IPs
France
3180 IPs
India
2838 IPs
United Kingdom
1859 IPs
Spain
1847 IPs
Philippines
1777 IPs
Indonesia
1601 IPs
Romania
1491 IPs
Thailand
1428 IPs
Italy
1393 IPs
Argentina
1317 IPs
Canada
1146 IPs
Mexico
1107 IPs
Egypt
1032 IPs
Colombia
951 IPs
Peru
862 IPs
Portugal
835 IPs
Czechia
808 IPs
Netherlands
806 IPs
South Korea
802 IPs
Sweden
799 IPs
Chile
783 IPs
Vietnam
765 IPs
Hungary
759 IPs
Pakistan
731 IPs
Australia
694 IPs
Serbia
669 IPs
China
627 IPs
Algeria
577 IPs
Malaysia
573 IPs
Morocco
561 IPs
Belgium
543 IPs
Japan
521 IPs
Bangladesh
477 IPs
Greece
476 IPs
Israel
472 IPs
Bulgaria
466 IPs
Saudi Arabia
451 IPs
Lithuania
442 IPs
United Arab Emirates
422 IPs
South Africa
415 IPs
Slovakia
384 IPs
Austria
383 IPs
Taiwan
374 IPs
Turkey
365 IPs
Tunisia
330 IPs
Finland
325 IPs
Iraq
324 IPs
Norway
319 IPs
Sri Lanka
317 IPs
Denmark
314 IPs
Ecuador
280 IPs
Dominican Republic
270 IPs
Venezuela
260 IPs
Switzerland
244 IPs
Georgia
236 IPs
Moldova
227 IPs
Uruguay
223 IPs
New Zealand
212 IPs
Bosnia and Herzegovina
209 IPs
Croatia
207 IPs
Estonia
206 IPs
Latvia
204 IPs
Jordan
187 IPs
Nepal
172 IPs
Bolivia
171 IPs
Hong Kong
170 IPs
Myanmar
160 IPs
Nigeria
158 IPs
Kuwait
152 IPs
Slovenia
149 IPs
Mongolia
144 IPs
Kenya
143 IPs
Kyrgyzstan
142 IPs
Cambodia
122 IPs
Singapore
117 IPs
North Macedonia
107 IPs
Costa Rica
100 IPs
Palestinian Territory
99 IPs
Ireland
97 IPs
Azerbaijan
91 IPs
Ethiopia
89 IPs
Ghana
84 IPs
Paraguay
84 IPs
Iran
77 IPs
Lebanon
76 IPs
Puerto Rico
74 IPs
Qatar
71 IPs
Armenia
66 IPs
Guatemala
64 IPs
Panama
63 IPs
Albania
60 IPs
Ivory Coast
58 IPs
Trinidad and Tobago
46 IPs
Honduras
45 IPs
Oman
44 IPs
Bahrain
43 IPs
Cyprus
43 IPs
Cuba
42 IPs
Suriname
42 IPs
Jamaica
41 IPs
El Salvador
41 IPs
Libya
40 IPs
Luxembourg
38 IPs
Laos
38 IPs
Mozambique
38 IPs
Tanzania
38 IPs
Angola
37 IPs
Reunion
35 IPs
Zambia
35 IPs
Senegal
35 IPs
Cameroon
35 IPs
Uganda
33 IPs
Montenegro
32 IPs
Nicaragua
31 IPs
Madagascar
30 IPs
Brunei
27 IPs
Malta
27 IPs
Togo
23 IPs
Iceland
20 IPs
Burkina Faso
18 IPs
Namibia
18 IPs
Syria
17 IPs
Democratic Republic of the Congo
14 IPs
Benin
14 IPs
Tajikistan
13 IPs
Republic of the Congo
12 IPs
Mauritius
12 IPs
Macao
10 IPs
Rwanda
10 IPs
Gabon
10 IPs
Maldives
10 IPs
Barbados
10 IPs
Yemen
8 IPs
Malawi
8 IPs
Andorra
8 IPs
Fiji
8 IPs
Bahamas
8 IPs
Guyana
7 IPs
Papua New Guinea
7 IPs
Martinique
7 IPs
Cabo Verde
7 IPs
Russia
7 IPs
Guam
7 IPs
Sudan
6 IPs
Kosovo
6 IPs
Saint Lucia
6 IPs
Zimbabwe
6 IPs
Mali
6 IPs
Haiti
5 IPs
Seychelles
5 IPs
Belize
5 IPs
Mauritania
5 IPs
Isle of Man
5 IPs
Jersey
5 IPs
Guernsey
4 IPs
New Caledonia
4 IPs
Afghanistan
4 IPs
Somalia
4 IPs
Guadeloupe
4 IPs
Cayman Islands
3 IPs
Faroe Islands
3 IPs
Belarus
3 IPs
Antigua and Barbuda
3 IPs
French Polynesia
3 IPs
Gibraltar
3 IPs
Dominica
3 IPs
Lesotho
3 IPs
Guinea
3 IPs
Curacao
2 IPs
Aruba
2 IPs
Bonaire, Saint Eustatius and Saba
2 IPs
Timor Leste
2 IPs
Greenland
2 IPs
Bhutan
2 IPs
French Guiana
2 IPs
Aland Islands
2 IPs
Eswatini
2 IPs
Liberia
2 IPs
Gambia
2 IPs
Ukraine
1 IP
Tonga
1 IP
Central African Republic
1 IP
Guinea-Bissau
1 IP
Sierra Leone
1 IP
Djibouti
1 IP
Equatorial Guinea
1 IP
Vanuatu
1 IP
Niger
1 IP
Chad
1 IP
Micronesia
1 IP
Northern Mariana Islands
1 IP
Mayotte
1 IP
Liechtenstein
1 IP
Saint Kitts and Nevis
1 IP
Saint Martin
1 IP
Grenada
1 IP

The full list of IPs can be found at: https://github.com/g0njxa/ProfilingTraffers/raw/main/GHOSTBUSTERS%20TEAM.txt

So indeed, workers from GhostBusters Team have acted against people from around the world.

These numbers of victims makes the total flow of infections an average of ~285 unique daily victims of the people working for this team.

There are a total of 71267 records tagged as META logs and 7838 as LummaC2 logs.

Some requests that are being checked on the log are (shown on records): MONEY, PayPal, Amazon, BusFB, GPay, BANKS

~ Workers

Please keep in mind that there is an option on this team to hide your username on the OTCTYK records, so most of the logs didn’t disclose an actual username, and also the possibility for users to change their username, so more than one username could refer to the same operator.

There are a total of 119 usernames and their victims. Of course, the list is incomplete because of the reasons stated before.

Some of these usernames may be known to you. List:

@GhostBustersKING
@MikiFoxxx
@uerrar
@sackutonnn
@znfeau
@PudjeSmom
@KutureIsNoMore
@wtfumean01
@JustShop0x0
@VvVDanielVvV
@ytseo02
@BIGBOSS934
@Pi55_0ff
@actavis7
@Rdnlkn666
@ArtemDotIcu
@M1Nt4r1q
@TShelbye
@iwldie
@vbddfgfdg
@d3737361
@YesPudje
@reinareal
@BiletArmii
@coff228
@payment_726
@Dasdvhyf
@kirya7212
@guedsgfsd
@idgottaxlive
@alexandra51234
@StellBll
@adderGods
@zigizrman
@wakuna_0
@ratwarp
@Spoke_xD
@sss444well
@GoogleFast_Team
@Mranger
@liljaba1337
@heis999
@Mavr_MMM
@vanceeva
@assdccc123
@flamelos
@p00fs
@userLIOS
@Taripxuesos
@Nomondu
@ffffffffffbbbbb
@ValorantSKUP
@AuzyK
@Google_ads1
@manakyzy
@china2111
@minishako
@Olwor
@gucchik229
@woeelzt
@malaooor
@switchelse
@logschampion
@Kagemshit
@g0r0dgreh0v
@tordiopana1
@klayZ3
@meanure_work
@leonardo_otmw
@whhhhhyyyyyyy
@vsshsus
@ggfaidy
@gegebos62
@BogdanBomiLLL
@digital_c0ins
@Coupehr
@Jdjdjdje1
@Ethereum_sheikh
@macaoyyy
@CVVDWS
@kl0pppasd
@bluerevamp
@DarL1nx
@jemalik22
@abcdf00010
@GothicDiamond
@boolevoy
@ghyyhjjjjj
@Lolzteam0ne0uts
@whoisaori
@stdyaa
@logscloud
@hersgorid
@ExpatDilovar
@abdulakenan
@easy_kaka
@retetttte
@sellyn9382
@dlyaaaggg
@razikgamingg
@Bibizanyas
@alexgood2228
@qgq3t431g3qwgqw
@alexgood229
@mranger
@iocates
@Matsudoka
@RobIoxOwner
@mmmmn3y
@cs_one_love
@Sup429249249924
@logsdeveloper
@buterinfake
@cap_guala
@whereinow
@IncognitoIncognitoIncognitosssss
@whofellsme
@vinted_at
@ssmvw2

In the Statistics shown in the Telegram Bot, there is no usernames disclosed.

Some of these usernames have been seen at infostealers traffic working with the builds from this team, also working under other teams or working with his own builds from a private panel. Tracking the activity of each individual would be a massive task that is out of my capabilities atm.

~ Builds

I generated a META (PackLab) build .exe with 44 MB size from the Telegram Bot of this team, Find it at:

MalwareBazaar | SHA256 8a87612554c933765740b2f396d66260909f8b0b2c61c7dcbaa4930848b65efb (abuse.ch)

Indeed, I got a logs back from sandbox machines. Doing CTI rocks 😎.

The current C2 of GHOSTBUSTERS TEAM is 94.103.188.162:443
(current domain
sy.slo5prc.top)

Detonation of my build: Analysis 8a87612554c933765740b2f396d66260909f8b0b2c61c7dcbaa4930848b65efb.exe (MD5: F593ECC0179497541CE5DE4DF7DAF9D2) Malicious activity — Interactive analysis ANY.RUN

You can see the usage of Pastebin as a DDR for this team (pastebin.com/raw/KE5Mft0T) with over 6 thousand views since Feb 29th

The user is active since 1st June, 2023 (https://pastebin.com/u/GBTZXC)

I also generated another META build with that “feature” that this team gives us, masking .scr files with unicode characters as legit extensions. Find it at:

MalwareBazaar | SHA256 dda6c5984dad1d693fa061ac52ea01403f0904e3e710e01bbd24a608b5f5927a (abuse.ch)

In fact, same behaviour.

(Not) The end ;)

Expect more content, soon.
Best regards,

@g0njxa

--

--