網(wǎng)絡(luò)犯罪分子很少重復(fù)發(fā)明輪子，因?yàn)閺睦账鬈浖礁`密程序，地下市場(chǎng)有各種各樣可供購買的工具包，任何人都可以快速上手。

研究人員近期發(fā)現(xiàn)了名為 Mr.SNIFFA 的信息竊密木馬較為活躍，該惡意軟件針對(duì)電子商務(wù)網(wǎng)站及其客戶進(jìn)行信息竊密。近年來，該信息竊密木馬采用了各種混淆技術(shù)和隱蔽技術(shù)來加載其惡意代碼并回傳竊取的信用卡數(shù)據(jù)。

通過研究人員的深入分析，揭露了其部署在俄羅斯托管服務(wù)提供商 DDoS-Guard 上的攻擊基礎(chǔ)設(shè)施。最終發(fā)現(xiàn)了集合加密貨幣詐騙、比特幣“混合器”、惡意軟件分發(fā)等犯罪行為的“數(shù)字犯罪天堂”。

概覽

攻擊者會(huì)盡量避免在常被安全分析人員注意的地方留下明顯的痕跡，嘗試只加載一次惡意代碼或者以某種毫無防備的格式動(dòng)態(tài)加載。

攻擊鏈

研究人員發(fā)現(xiàn)一個(gè)電子商務(wù)網(wǎng)站被注入了一個(gè)指向以美國企業(yè)家和比特幣擁躉 Michael J. Saylor（saylor2xbtc[.]com）來命名的外部網(wǎng)站的鏈接。盡管注入的網(wǎng)站與加密貨幣毫無關(guān)聯(lián)，但針對(duì)加密貨幣的興趣仍然昭然若揭。

惡意流量

惡意 Skimmer 代碼在 DOM 中動(dòng)態(tài)解壓，收集信用卡支付信息并且對(duì)外泄露。

技術(shù)細(xì)節(jié)

Mr.SNIFFA Skimmer

2020 年春天，犯罪論壇中就出現(xiàn)了名為 Mr.SNIFFA 的信息竊密惡意軟件的廣告。該產(chǎn)品聲稱其惡意代碼對(duì)瀏覽器工具不可見，并且對(duì)不同的瀏覽器兼容性較好。更重要的是，惡意軟件開發(fā)者提供免費(fèi)的 Bug 修復(fù)與 7×24 小時(shí)技術(shù)支持。

廣告的推文

廣告也不全是虛假宣傳，有一部分后來也被證實(shí)了。

代碼升級(jí)

Loader

第一部分是從 elon2xmusk[.]com 加載的 JavaScript 代碼，也是經(jīng)過混淆的。

Loader 代碼

該 Loader 旨在加載部署在 2xdepp[.]com/stylesheet.css 上的特殊 CSS 文件，攻擊者的攻擊是一環(huán)套一環(huán)的，就是連接在一起才能生效。

核心代碼

文件的起始處會(huì)包含許多標(biāo)準(zhǔn) CSS 代碼，示例文件中是渲染字體的代碼，但也有很多其他代碼。

隱藏的代碼

在文本編輯器中打開可以發(fā)現(xiàn)文件超過 8.8 萬行代碼，其中包括大量的空格、制表符和換行符?？瞻讛?shù)據(jù)會(huì)通過原始 Loader（elon2xmusk[.]com/jquery.min.js）轉(zhuǎn)換為二進(jìn)制代碼。

Denis Sinegubko 和 Eric Brandel 之前披露過關(guān)于 Mr.Sniffa 的這一技術(shù)。

空白編碼特性

解碼這段代碼后，最終能得到與 Eric Brandel 同款惡意代碼。

相同的惡意代碼

數(shù)據(jù)外帶

在交易頁面攻擊者注入了付款代碼，但攻擊者存在語法錯(cuò)誤（please enter your card details and will charge you later）。竊取的信用卡數(shù)據(jù)將使用相同的特殊字符編碼回傳給攻擊者，以圖片文件的形式發(fā)送。

通過圖片文件進(jìn)行數(shù)據(jù)泄露

攻擊基礎(chǔ)設(shè)施

DDoS-Guard

攻擊活動(dòng)中涉及到的 3 個(gè)域名都曾經(jīng)與 DDoS-Guard 公司有關(guān)，該俄羅斯公司會(huì)為存在法律問題的網(wǎng)站提供保護(hù)。

攻擊基礎(chǔ)設(shè)施關(guān)聯(lián)

研究人員清楚，此類攻擊者通常都需要依賴防彈主機(jī)，攻擊者可以不受干擾地進(jìn)行犯罪活動(dòng)。

其他犯罪活動(dòng)

通常，犯罪分子會(huì)通過不同的服務(wù)進(jìn)行資金交易。跟蹤被竊取的信用卡是困難且耗時(shí)的。

在與 Loader 部署的域名相同的 IP 地址（185.178.208.174）上，有一家虛假網(wǎng)站模仿零售商 Houzz 的網(wǎng)站。

虛假網(wǎng)站對(duì)比

在與部署惡意 CSS 文件相同的 IP 地址（185.178.208.181）上，也能關(guān)聯(lián)發(fā)現(xiàn)一個(gè)銷售控制面板、RDP 與 Shell 的網(wǎng)站（orvx[.]pw）。

地下銷售市場(chǎng)

以及一個(gè)加密貨幣“混合器”服務(wù)（bestmixer[.]mx），犯罪分子通常都會(huì)使用這種服務(wù)。

比特幣混合器服務(wù)

同一個(gè)子網(wǎng)的 185.178.208[.]190 綁定了 blackbiz[.]top 域名，是一個(gè)宣傳惡意軟件服務(wù)的犯罪論壇：

犯罪論壇

額外的犯罪服務(wù)

研究人員發(fā)現(xiàn)該攻擊團(tuán)伙運(yùn)營的域名中都有 2x，并且與加密貨幣有關(guān)：

saylor2xbtc[.]com
elon2xmusk[.]com
2xdepp[.]com

通過域名查詢，查找其他域名：

domain_regex=^[a-z-]{0,}2x[a-z-]{0,}.[a-z]{1,}$
asn_starts_with=DDOS-GUARD
last_seen_min=2022-12-31

在 SilentPush 上進(jìn)行查詢

加密貨幣騙局

網(wǎng)站聲稱是 Tesla、Elon Musk、MicroStrategy 或 Michael J. Saylor 的官方活動(dòng)，通過賺取數(shù)千個(gè)比特幣來欺騙他人。根據(jù) Group-IB 的報(bào)告，加密貨幣騙局在 2022 年上半年增長了五倍。

加密貨幣詐騙網(wǎng)站

惡意軟件分發(fā)

攻擊者使用了許多模仿 AnyDesk、MSI afterburner、Team Viewer 或 OBS 的域名來進(jìn)行惡意軟件分發(fā)。

虛假 AnyDesk 網(wǎng)站

出售竊取信息

以調(diào)查記者布 Brian Krebs 的名字命名的網(wǎng)站，為了出售被盜的信用卡。 該網(wǎng)站域名與其他先前已知的域名同步，攻擊者 Brian Krebs 也為該網(wǎng)站做了多次宣傳。

登錄頁面

竊取的信息

網(wǎng)絡(luò)釣魚即服務(wù)

Robin Banks 是一個(gè)網(wǎng)絡(luò)釣魚即服務(wù)平臺(tái)，于 2022 年 3 月首次被發(fā)現(xiàn)，專門銷售網(wǎng)絡(luò)釣魚工具包。后來，Robin Banks 的基礎(chǔ)設(shè)施也從 robinbanks[.]su 遷移到與 DDos-Guard 有關(guān)的 beta4us[.]click。

登錄頁面

結(jié)論

分析人員跟蹤了使用 DDoS-Guard 的 Mr.SNIFFA 工具包和攻擊基礎(chǔ)設(shè)施，按圖索驥發(fā)現(xiàn)了相關(guān)聯(lián)的各種數(shù)字犯罪。這些犯罪分子通常是互相勾連的，聚合各種數(shù)據(jù)和證據(jù)有助于更好地理解數(shù)字犯罪的生態(tài)系統(tǒng)、跟蹤其發(fā)展趨勢(shì)。