Sharon-Needles/fox-marketing-investigation

# Fox Marketing 销售线索窃取调查 ## 概述 一个位于巴基斯坦、名为 **Fox Marketing** 的组织（由 **Muhammad Umair** 运营，用户名 `myteka`）一直通过欺诈手段收集美国消费者保险线索，并至少从 2013 年开始出售这些线索。2026 年 4 月，这些被盗线索的买家利用受害者的个人身份信息 (PII) 未经授权访问了美国人寿保险账户。 本仓库记录了完整的网络图谱、相关证据以及滥用行为举报模板。 ## 已确认的运营者 | 字段 | 值 | |---|---| | **真实姓名** | Muhammad Umair | | **用户名** | `myteka` | | **地址 (WHOIS)** | Office #107, Sajjad Center, H3 Block, Johar Town, Lahore, Punjab 54000, PK | | **地址 (商业)** | PL-20 Siddiq Trade Center, Gulberg III, Lahore, PK | | **地址 (LinkedIn/FB)** | Sector 15-A/5 Buffer Zone, Karachi, Sindh 75950, PK | | **电话 (座机)** | +92 42 35781666 | | **电话 (手机 1)** | +92 312 4188424 | | **电话 (手机 2)** | +92 336 4475528 ← *与 winshosting.pk 共用* | | **电话 (手机 3)** | +92 313 8884422 ← *来自 privatesever.com WHOIS* | | **邮箱** | info@foxmarketing.cc | | **邮箱 (基础设施)** | verify@privatesever.com / sales@privatesever.com | | **母公司** | FM Service (Karachi) | **姓名确认途径**：privatesever.com WHOIS —— 两个独立来源 (viewdns.info + whois.com) ## 犯罪网络 ``` Muhammad Umair (myteka) ├── foxmarketing.cc ← active fraud front (GoDaddy, OVH 51.79.230.235) ├── bestusaleads.com ← legacy stolen-lead sales site (OVH 51.161.209.19) ├── pvtdomain.com ← Pakistan hosting reseller (OrderBox, slug 'pvt') ├── privatesever.com ← nameserver infrastructure (Spaceship.com) │ ├── ns9/ns10.privatesever.com → serves all operator domains │ └── ns19/ns20.privatesever.com → serves winshosting.pk, mojaz.org ├── infiniteetech.com ← IT company (footer credit on foxmarketing.cc) ├── winshosting.pk ← CONFIRMED same operator (shared +92 336 4475528) └── FM Service ← parent company (LinkedIn bio) ``` ## 网络可视化 | 文件 | 描述 | |---|---| | [`visualizations/network_interactive.html`](visualizations/network_interactive.html) | **在浏览器中打开** —— 支持拖动/缩放的力导向图，50+ 节点 | | [`visualizations/network.png`](visualizations/network.png) | 静态 PNG —— 适合打印 | | [`visualizations/network.svg`](visualizations/network.svg) | 可缩放矢量图形 —— 高质量 | | [`visualizations/build_graph.py`](visualizations/build_graph.py) | 更新后重新生成图表 | ## 关键证据 ### 电话号码交叉关联 (关键) `+92 336 4475528` **同时**出现在 pvtdomain.com 联系页面和 winshosting.pk 活跃网站上 —— 这明确将两者关联到同一个运营者。 ### WHOIS 身份确认 (2026-04-21) `privatesever.com` 注册时未启用 WHOIS 隐私保护。注册商：Spaceship.com。 注册人：**Muhammad Umair**，Office #107 Sajjad Center H3 Block Johar Town Lahore 54000 PK。 由 viewdns.info 和 whois.com 独立确认。 ### 信息窃取器基础设施集群 2026 年 4 月，沙特阿拉伯的一个信息窃取器设备 (5.244.65.199) 浏览了包含 `pvtdomain.com`、`privatesever.com` 和 `winshosting.pk` 的域名列表 ("Slow-dom") —— 这三者均在同一次活动中。证实为单一运营者集群。 ### 摩洛哥凭据非法交易 三台位于摩洛哥的设备 (Maroc Telecom / ISP 住宅网络) 活跃于同一犯罪生态系统中： - `41.248.145.181` [n7] — 拉巴特 — 拥有 winshosting.com 凭据 - `41.248.133.202` [n5] — 丹吉尔 — 包含 leaddev29@gmail.com 的 Telegram 凭据捆绑包 - `105.159.229.221` — 卡萨布兰卡 — 拥有 americoagent.com 凭据 ### 2026 年 4 月保险欺诈事件 IP `107.200.147.244`（AT&T 住宅网络，Troy MI 48085）于 2026 年 4 月 20 日使用 Windows 11 / Chrome 访问了受害者的 Americo 人寿保险账户 (`account.americoagent.com`)。该凭据来源于 Fox Marketing 的销售线索窃取管道。 ## 证据目录 ``` evidence/ ├── screenshots/ # 25 screenshots — social profiles, websites, DNS, SSL ├── raw_data/ # DNS recon, WHOIS, holehe results, infrastructure maps └── intelx/ # IntelligenceX search results (JSON) for all domains/IPs reports/ ├── MASTER_INVESTIGATION_REPORT.txt # Full chronological dossier ├── INVESTIGATION_OUTLINE.txt # Stage 4 IntelX findings + next steps └── ABUSE_REPORT_TEMPLATE.txt # Ready-to-send reports for 7 agencies maltego/ ├── entities.csv # Import into Maltego (50+ entities) ├── IMPORT_GUIDE.md # Step-by-step Maltego import instructions └── ZACH_original_20260420.mtgl # Original Maltego graph (pre-Stage 4) burp/ ├── scope.json # Burp Suite target scope (all operator domains) └── target_list.txt # URL list for Site Map import ``` ## 滥用行为举报 (可直接发送) 参见 [`reports/ABUSE_REPORT_TEMPLATE.txt`](reports/ABUSE_REPORT_TEMPLATE.txt) 获取以下机构的即发举报文本： 1. **FBI IC3** — https://www.ic3.gov 2. **OVHcloud** — noc@ovh.net (服务器 51.79.230.235 + 51.161.209.19) 3. **GoDaddy** — abuse@godaddy.com (foxmarketing.cc 注册商) 4. **Spaceship.com** — abuse@spaceship.com (privatesever.com 注册商) 5. **巴基斯坦 FIA 网络犯罪部门** — https://fia.gov.pk/cybercrime 6. **AT&T** — abuse@att.net (Troy MI 用户的证据保全函) 7. **Americo 欺诈团队** — 通过 americoagent.com 联系 ## 调查时间线 | 日期 | 事件 | |---|---| | ~2013 | bestusaleads.com 注册 —— 销售线索窃取行动开始 | | 2014-08-28 | privatesever.com 由 Muhammad Umair 注册 (Spaceship.com) | | 2018 | Fox Marketing LLC 成立 —— FM Service 在卡拉奇的子公司 | | 2021 | Epik.com 数据泄露 —— sales@privatesever.com 出现在注册商记录中 | | 2022 | 受害者凭据在尼日利亚/阿联酋的信息窃取器活动中被盗 | | 2024-08 | foxmarketing.cc 域名注册 | | 2025 | 受害者凭据出现在哥伦比亚 IP 的自动填充窃取活动中 | | 2026-04-11 | 初步 Fox Marketing 档案整理完成 | | 2026-04-20 | Troy MI 行为者访问受害者的 Americo 账户 (未经授权登录) | | 2026-04-21 | **Muhammad Umair** 经 WHOIS 确认为运营者 | | 2026-04-21 | IntelX 阶段 4 完成 —— 确认 winshosting.pk + 摩洛哥集群 | ## 阶段 5 调查发现 (2026-04-22) ### 全球主机托管帝国 —— 1,000+ 域名 对 `ns9/ns10/ns19/ns20.privatesever.com` 的反向 NS 查询显示，Muhammad Umair 经营着一家**全球网络托管经销商业务**，在 8 个以上的服务器 IP (OVHcloud + WorldStream NL) 上为 1,000 多个客户域名提供服务： **运营者拥有的托管品牌：** - `islamabadwebhosting.com`、`webhostinglahore.com`、`pkniccard.pk` —— 巴基斯坦 - `ksahosting.com` —— 沙特阿拉伯 - `hostinaustralia.com`、`hostinturkey.com`、`hostingbangla.com`、`malaysianhost.com` —— 国际 - `argentinavpsserver.com`、`egyptvpsserver.com`、`hongkongvpsserver.com`、`vpsserveruae.com`、`serverslot.com` —— 国家 VPS 品牌 所有这些品牌的域名都出现在 2026 年 2 月针对该运营者基础设施的 Slow-dom 信息窃取器活动中。 **服务器 IP (WorldStream NL)：** 89.38.98.88, 185.177.125.110, 45.14.135.55, 89.39.104.95/97/94, 51.68.204.165 **客户域名列表：** `evidence/raw_data/ns9_customer_domains.txt` (500), `ns19_customer_domains.txt` (500) ### 新的信息窃取器活动 - `USWEOPSJPWGX.rar` (2026 年 2 月 7 日) 和 `d7PMGSPNFMGN.rar` (2026 年 2 月 6 日)：针对 `islamabadwebhosting.com`、`ksahosting.com`、`hostinaustralia.com` 的另外两个 Slow-dom 存档 - 缅甸设备 `203.81.89.135` 浏览了托管在 ns9 上的域名 (2023) - 科特迪瓦设备 `41.207.10.128` 直接访问了 WorldStream IP - 两台沙特阿拉伯信息窃取器设备浏览了 `ksahosting.com` (2025 年 12 月，2025 年 4 月) - `leaddev29@gmail.com` 拥有自己的信息窃取器日志 (`leaddev29@gmail.com.rar`) —— 摩洛哥丹吉尔行为者自己的设备被攻陷 ### pkniccard.pk —— 身份基础设施隐患 托管在 Muhammad Umair 基础设施上的巴基斯坦国民身份证域名注册服务。声称“位于拉合尔” —— 与运营者的商业地址一致。 ## 阶段 6 搜索 (IntelX 积分于 2026-04-24 重置) - `worldstream.nl` + 运营者 IP 范围 —— 更多托管在 WorldStream 的基础设施 - `pkniccard.pk` 联系方式 —— 欺诈运营者服务器上的身份文件？ - `leaddev29` —— 更深度的摩洛哥行为者信息透视 (他们自己的设备被攻陷) - `203.81.89.135` (缅甸) —— 浏览过的其他运营者域名 - `israelvpsserver.com`、`southkoreavpsserver.com` —— 剩余的托管品牌 - WorldStream NL 滥用举报：abuse@worldstream.nl (IPs 89.38.98.88, 185.177.125.110, 45.14.135.55, 89.39.104.95/97/94) ## 方法论 所有调查均仅使用开源情报 (OSINT) 进行： - DNS 枚举，WHOIS，RDAP - IntelligenceX 违规情报 (免费版) - Holehe 邮箱到平台检查工具 - CriminalIP 威胁评分 - theHarvester，subfinder，httpx - Wayback Machine 历史快照 - 公开的社交媒体资料 未执行任何未经授权的访问、黑客攻击或非法活动。

标签：ESC4, ESC8, OSINT, PII泄露, WHOIS查询, 个人可识别信息, 保险欺诈, 协议探测, 后端开发, 域名调查, 基础设施映射, 威胁情报, 威胁追踪, 巴基斯坦, 开发者工具, 情报分析, 数字取证, 社会工程学, 线索倒卖, 网络欺诈, 网络犯罪, 网络诊断, 美国保险, 自动化脚本, 身份盗窃, 运行时操纵, 逆向工具, 黑产