网络犯罪分子很少重新发明轮子,因为地下市场上有各种各样的工具包,从勒索软件到盗窃软件,任何人都可以快速掌握。研究人员最近发现了一种名为Mr.SNIFFA的活跃信息窃取木马,它以电子商务网站及其客户为目标进行信息窃取。近年来,信息窃取木马利用各种混淆和隐身技术加载其恶意代码并返回被盗的信用卡数据。研究人员的深入分析揭示了其部署在俄罗斯托管服务提供商DDoS-Guard上的攻击基础设施。最终,一个“数字犯罪避风港”被发现,其中包含加密货币诈骗、比特币“混合器”、恶意软件分发等。概述攻击者会尽量避免在安全分析师通常会注意到的地方留下明显的痕迹,尝试仅加载一次恶意代码或以某种毫无戒心的格式动态加载恶意代码。AttackChain研究人员发现一个电子商务网站注入了一个外部网站的链接,该网站以美国企业家和比特币爱好者MichaelJ.Saylor(saylor2xbtc[.]com)的名字命名。尽管注入的网站与加密货币无关,但对加密货币的兴趣仍然很明显。恶意流量MaliciousSkimmer代码在DOM中动态解压,收集信用卡支付信息并将其泄露给外界。技术细节Mr.SNIFFASkimmer2020年春季出现在犯罪论坛上的信息窃取恶意软件Mr.SNIFFA的广告。该产品声称其恶意代码对浏览器工具不可见,并且与不同浏览器具有良好的兼容性。此外,恶意软件开发人员提供免费的错误修复和24/7技术支持。广告推文并非都是虚假宣传,其中一些后来得到了证实。代码升级Loader的第一部分是从elon2xmusk[.]com加载的JavaScript代码,也是经过混淆处理的。加载程序代码加载程序旨在加载部署在2xdepp[.]com/stylesheet.css上的特殊CSS文件。攻击者的攻击是一连串的链接,只有链接在一起才能生效。核心代码文件的开头会有很多标准的CSS代码,示例文件中渲染字体的代码,还有很多其他代码。代码隐藏在文本编辑器中打开文件会显示超过88,000行代码,包括大量空格、制表符和换行符。空白数据由原始Loader(elon2xmusk[.]com/jquery.min.js)转换为二进制代码。DenisSinegubko和EricBrandel之前曾为Sniffa先生披露过这项技术。使用空白编码特征对这段代码进行解码后,最终可以得到与EricBrandel相同的恶意代码。攻击者在交易页面的支付代码中注入了相同的恶意代码数据,但攻击者存在语法错误(请输入您的卡详细信息,稍后将向您收费)。被盗的信用卡数据被编码回具有相同特殊字符的攻击者,作为图像文件发送。DDoS-Guard攻击通过图片文件进行数据泄露攻击基础设施的三个域都曾与DDoS-Guard有关,这是一家为存在法律问题的网站提供保护的俄罗斯公司。攻击基础设施关联研究人员知道,此类攻击者通常依赖防弹主机,这些主机允许攻击者在不受干扰的情况下实施犯罪。其他犯罪活动犯罪分子通常使用不同的服务进行金钱交易。追踪被盗的信用卡既困难又费时。在与Loader部署的域相同的IP地址(185.178.208.174)上,有一个模仿零售商Houzz的虚假网站。假网站对比在部署恶意CSS文件的同一个IP地址(185.178.208.181)上,还可以关联一个销售控制面板、RDP、shell的网站(orvx[.]pw)。地下市场和加密货币“混合器”服务(bestmixer[.]mx),通常被犯罪分子使用。185.178.208[.]190与bitcoinmixer服务在同一子网上绑定到blackbiz[.]top域,一个推广恶意软件服务的犯罪论坛:CriminalForumAdditionalCriminalServices研究人员发现,该攻击团伙操作的有2x在域名中,与加密货币相关:saylor2xbtc[.]comelon2xmusk[.]com2xdepp[.]com通过域名查询查找其他域名:domain_regex=^[a-z-]{0,}2x[a-z-]{0,}.[a-z]{1,}$asn_starts_with=DDOS-GUARDlast_seen_min=2022-12-31在声称是Tesla、ElonMusk、MicroStrategy或MichaelJ.Saylor的官方活动的SilentPushCryptocurrency骗局网站上查询Earnthousands的比特币来骗取他人。根据Group-IB的一份报告,加密货币诈骗将在2022年上半年增加五倍。加密货币诈骗站点恶意软件分发攻击者使用许多模仿AnyDesk、MSIafterburner、TeamViewer或OBS的域来分发恶意软件。假冒的AnyDesk网站出售窃取的信息一个以调查记者布赖恩·克雷布斯(BrianKrebs)命名的网站旨在出售被盗的信用卡。该网站域与其他先前已知的域同步,攻击者BrianKrebs也多次推广该站点。登录页面窃取信息网络钓鱼即服务RobinBanks是一个网络钓鱼即服务平台,于2022年3月首次被发现,专门销售网络钓鱼工具包。后来,RobinBanks的基础设施也从robinbanks[.]su迁移到与DDos-Guard相关的beta4us[.]click。登陆页面结论分析师使用DDoS-Guard追踪了Mr.SNIFFA工具包和攻击基础设施,并追踪了与之相关的各种数字犯罪。这些犯罪分子往往相互关联,各种数据和证据的聚合有助于更好地了解数字犯罪生态系统并追踪其发展趋势。
