今年早些时候,一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”,目的是散布信息窃取器和基于JavaScript的支付窃取器。
新加坡网络安全公司Group-IB在今天发布的一份新报告中,将这一行动归因于同一个组织,该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件,用伪造的JavaScript-sniffers(JS-sniffers)感染他们的网站。
这项活动从2月开始到9月结束,共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件,将Vidar和Raccoon信息窃取器下载到受害者系统上。
研究人员指出,这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据,从而传播恶意软件。
这些假网页是使用Mephistophilus网络钓鱼工具包创建的,攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。
去年11月,IB集团的研究人员在对网络犯罪组织的策略进行分析时表示:“攻击者将伪造的页面链接发送给受害者,告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件,则他们的计算机就感染了窃取密码的恶意软件。”
在今年2月和3月的第一波攻击中,Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码,但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。
去年Cybereason首次记录的Raccoon具有许多功能,可以与命令控制(C2)服务器进行通信,以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。
Raccoon的独特之处在于,它通过向电报通道(“blintick”)发出请求以接收C2服务器的加密地址,从而绕过C2服务器的阻拦。此外,它还通过聊天服务为社区问题和评论提供24×7的客户支持。
同样,AveMaria RAT具有持久性,可以记录击键信息、注入恶意代码以及窃取敏感文件等。
Vidar和Raccoon都以恶意软件即服务(MaaS)的形式出售。Vidar窃取器的租金为每月250美元到300美元不等,Raccoon每月的租金为200美元。
除了上述四个阶段外,Group-IB还观察到了一个过渡阶段,即2020年5月至2020年9月。在此期间,20家网店感染了FakeSecurity系列改良版本的JS-sniffer。
有趣的是,用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。
今年1月初,国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
请登录后发表评论
注册