今年早些時(shí)候，一個(gè)以電子商務(wù)網(wǎng)站為目標(biāo)的網(wǎng)絡(luò)黑客組織曾發(fā)起過一次“多階段惡意活動(dòng)”，目的是傳播一個(gè)信息竊取程序和基于javascript的支付卡竊取程序。

新加坡網(wǎng)絡(luò)安全公司Group-IB最近通過跟蹤研究，發(fā)現(xiàn)本次攻擊的黑客使用了JavaScript-sniffers (JS-sniffers)，早在2019年，Group-IB的專家就確定了至少38個(gè)不同的JS-sniffer家族，目前這個(gè)數(shù)字還在不斷增長(zhǎng)，已經(jīng)超過了PC和Android的銀行木馬數(shù)量。

大多數(shù)JS-sniffer家族的設(shè)計(jì)目的是從特定CMS(內(nèi)容管理系統(tǒng))上運(yùn)行的網(wǎng)站的支付表單中竊取信息，然而也有通用的，他們可以從支付表單中竊取信息，并且不需要針對(duì)特定網(wǎng)站進(jìn)行修改。

這次攻擊活動(dòng)共分四波進(jìn)行，從2月開始到9月結(jié)束，攻擊者們利用自定義的釣魚網(wǎng)頁(yè)，誘使帶有惡意宏的文件將Vidar和Raccoon信息竊取程序下載到受害者系統(tǒng)中。Raccoon是一款用于偵察和信息收集的工具。它將為我們完成從獲取DNS記錄，TLS數(shù)據(jù)，WHOIS信息檢索，WAF存在檢測(cè)以及目錄爆破，子域枚舉等所有操作，每次掃描結(jié)果都將會(huì)輸出保存到相應(yīng)的文件中。

研究人員指出，攻擊的最終目標(biāo)是通過幾種攻擊媒介和工具來(lái)竊取支付和用戶數(shù)據(jù)，以傳播惡意軟件。

這些虛假網(wǎng)頁(yè)是使用Mephistophilus釣魚套件創(chuàng)建的，該套件允許攻擊者創(chuàng)建和部署用于傳播惡意軟件的釣魚登陸頁(yè)面。

去年11月，Group-IB的研究人員在一份針對(duì)該網(wǎng)絡(luò)犯罪集團(tuán)策略的分析報(bào)告中解釋道：

“攻擊者將偽造的頁(yè)面鏈接發(fā)送給受害者，以告知受害者缺少正確顯示文檔所需的插件。如果用戶下載了該插件，則他們的計(jì)算機(jī)感染了竊取密碼的惡意軟件。”

在2月和3月的第一波攻擊中，用戶使用了Vidar密碼竊取程序來(lái)攔截用戶瀏覽器和各種應(yīng)用程序的密碼，隨后的攻擊換成了Raccoon 竊取程序和AveMaria RAT以實(shí)現(xiàn)其目標(biāo)。

Vidar是一種相對(duì)較新的惡意軟件形式，它的目標(biāo)是大量受害者的信息，包括密碼、文檔、屏幕截圖、瀏覽器歷史記錄、消息數(shù)據(jù)、信用卡詳細(xì)信息甚至存儲(chǔ)在雙因素身份驗(yàn)證軟件中的數(shù)據(jù)。

Vidar還可以定位存儲(chǔ)比特幣和其他加密貨幣的虛擬錢包，且它具有高度可定制性。

去年，Cybereason首次曝光了Raccoon，它具有廣泛的功能，可以通過與命令控制(C2)服務(wù)器通信來(lái)竊取數(shù)據(jù)，包括截圖、信用卡信息、加密貨幣錢包、存儲(chǔ)的瀏覽器密碼、電子郵件和系統(tǒng)信息。

Raccoon的獨(dú)特之處在于，除了通過聊天服務(wù)為社區(qū)問題和評(píng)論提供24×7客戶支持之外，它還通過向一個(gè)電報(bào)頻道(“blintick”)發(fā)出請(qǐng)求來(lái)接收C2服務(wù)器的加密地址，從而繞過了C2服務(wù)器的監(jiān)控。

同樣，AveMaria RAT也能夠確保持久性、記錄鍵盤輸入信息、注入惡意代碼和泄漏敏感文件等。

Vidar和Raccoon都通過地下論壇以惡意軟件即服務(wù)(MaaS)的形式出售，Vidar竊取程序的租金從每月250美元到300美元不等，而Raccoon每月的使用費(fèi)為200美元。

除了上述四個(gè)階段外，Group-IB還觀察到了一個(gè)過渡階段，即2020年5月至2020年9月，在此階段，多達(dá)20個(gè)在線商店都感染了FakeSecurity家族中經(jīng)過迭代的JS-sniffer。

有趣的是，用于傳播Vidar和Raccoon的竊取程序的基礎(chǔ)設(shè)施被重新使用來(lái)存儲(chǔ)嗅探器代碼和收集被盜銀行卡數(shù)據(jù)，這才使得研究人員將這兩個(gè)活動(dòng)聯(lián)系在一起。

這種發(fā)展又表明，即使執(zhí)法機(jī)構(gòu)正在努力解決網(wǎng)絡(luò)犯罪問題，攻擊者也正在加緊努力，竊取電子商務(wù)網(wǎng)站的付款信息。今年一月初，國(guó)際刑警組織利用Group-IB提供的數(shù)字取證證據(jù)，逮捕了三個(gè)與“GetBilling”組織有關(guān)的人。

本文翻譯自：https://thehackernews.com/2020/12/payment-card-skimmer-group-using.html