嗅探器大招：FakeSecurity 家族如何感染線上商店

2018 年 XNUMX 月，Group-IB 專家發現了一個新的嗅探器家族，稱為 假安全它們被一個犯罪集團用來感染運作內容管理系統（CMS）的網站。 Magento分析顯示，在最近的攻擊活動中，攻擊者利用惡意軟體竊取密碼。受害者是感染了 JavaScript 嗅探器的線上商店的店主。 Group-IB 的 CERT 向受影響的網站發出警報，Group-IB 的一名威脅情報分析師也參與了調查。 維克多·奧科羅科夫 決定講述我們如何識別犯罪活動。

讓我們回顧一下，2019 年 XNUMX 月，Group-IB 發布了 報告 《不受懲罰的罪行：JS 嗅探器家族分析》分析了用於感染兩千多個線上購物網站的 15 個不同 JS 嗅探器家族。

單一地址

在感染過程中，攻擊者在網站程式碼中嵌入了一個惡意腳本的鏈接，該腳本會在用戶付款時加載，並攔截在線商店訪客的付款數據，然後將其發送到攻擊者的伺服器。在使用 FakeSecurity 進行攻擊的初期，惡意腳本本身和嗅探器閘道都位於同一個網域 magento-security[.]org 上。

後來一些 Magento發現多個網站感染了同一嗅探器家族，但這次攻擊者使用了新的網域名稱來託管惡意程式碼：

• fiswedbesign[.]com
• alloaypparel[.]com

這兩個網域都註冊到同一個電子郵件地址。 greenstreethunter@india[.]com。註冊第三個網域時指定了相同的地址。 firstofbanks[.]com.

我們懇請您

對FakeSecurity犯罪集團所使用的三個新網域的分析顯示，其中一些網域參與了始於2019年XNUMX月的惡意軟體傳播活動。攻擊者分發了一些頁面鏈接，提示用戶安裝缺少的插件才能正確顯示文件。如果用戶開始下載該應用程序，他們的電腦就會感染竊取密碼的惡意軟體。

總共發現了 11 個唯一鏈接，這些鏈接會引導用戶進入虛假頁面，鼓勵用戶安裝惡意軟體。

• hxxps://www.etodoors.com/uploads/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
• hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
• hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
• hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
• hxxp://thepinetree.net/n/docs/Statement00159701[.]html
• hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
• hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
• hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
• hxxps://www.tokyoflash.com/pdf/statment001854[.]html
• hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

惡意活動的潛在受害者透過電子郵件收到了垃圾郵件，郵件中包含指向一級頁面的連結。該頁面是一個帶有 iframe 的小型 HTML 文檔，其內容從二級頁面加載。二級頁面是一個登入頁面，其內容鼓勵收件者安裝某個可執行檔。在此次惡意活動中，攻擊者使用了一個以安裝 Adob​​e Reader 缺失外掛程式為主題的登入頁面，因此一級頁面模仿了一個在瀏覽器中以在線查看模式打開的 PDF 文件的連結。二級頁麵包含惡意活動分發的惡意檔案的鏈接，點擊按鈕即可下載該檔案。 下載插件.

對此次活動中使用的頁面的分析表明，二級頁面通常位於攻擊者的網域中，而一級頁面和惡意檔案本身通常位於被駭客入侵的電子商務網站上。

惡意軟體分發的頁面結構範例

透過垃圾郵件，潛在受害者會收到一個 HTML 文件的鏈接，例如， hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html。連結處的 HTML 檔案包含一個 iframe 元素，其中包含指向頁面主要內容的連結；在此範例中，頁面內容位於 hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf從這個例子我們可以看出，攻擊者使用註冊網域（而不是被駭的網站）來託管頁面內容。此連結顯示的介麵包含一個按鈕 下載插件如果受害者點擊此按鈕，可執行檔將從頁面程式碼中指定的連結下載；在本例中，可執行檔從連結下載 hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe也就是說，惡意檔案本身就是儲存在被駭的網站上。

我們這個時代的“梅菲斯特”

領域分析 alloaypparel[.]com 揭露了Mephistophilus釣魚工具包被用於傳播惡意軟體，該工具包允許創建和部署用於傳播惡意軟體的釣魚頁面：Mephistophilus使用多種類型的登入頁面，鼓勵用戶安裝應用程式運行所需的插件。實際上，用戶將透過惡意軟體安裝鏈接，該鏈接是操作員透過Mephistophilus管理面板添加的。

Mephistophilus 定向釣魚系統於 2016 年 XNUMX 月出現在地下論壇上。它是一個標準的釣魚工具包，使用網路偽裝，以插件更新（MS Word、MS Excel、PDF、YouTube）為幌子下載惡意軟體，以查看文件或頁面內容。 Mephistophilus 由一位綽號為 Kokain 的地下論壇用戶開發並發佈出售。為了成功使用該釣魚工具包進行感染，攻擊者需要誘騙用戶點擊指向 Mephistophilus 產生的頁面的連結。無論釣魚頁面的主題是什麼，都會顯示一則訊息，提示需要安裝缺少的插件才能正確顯示線上文件或 YouTube 影片。為此，Mephistophilus 提供了幾種類型的釣魚頁面，用於模仿合法服務：

• Microsoft Office365 Word 或 Excel 文件的線上檢視器
• 線上 PDF 檢視器
• YouTube 服務克隆頁面

受害者

作為惡意活動的一部分，犯罪集團並不局限於使用獨立註冊的網域：為了儲存分散式惡意檔案樣本，攻擊者還使用了幾個先前被 FakeSecurity 嗅探器感染的線上商店網站。

共檢測到 5 個指向 5 個不同惡意軟體樣本的獨特鏈接，其中 4 個儲存在運行 CMS 的被駭網站上。 Magento:

• hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• hxxp://thepinetree[.]net/docs/msw070619.exe

此次活動中傳播的惡意軟體樣本是 Vidar 竊取程式的樣本，該程式旨在從瀏覽器和某些應用程式中竊取密碼。它還可以根據指定參數收集文件並將其傳輸到管理面板，這使得竊取加密貨幣錢包文件等操作更加容易。 Vidar 代表了「惡意軟體即服務」的理念：所有收集到的資料都會傳輸到網關，然後發送到集中管理面板，每個購買該竊取程式的買家都可以查看來自受感染電腦的日誌。

一個能幹的小偷

Vidar 資料竊取程式於 2018 年 250 月出現。它是由一位化名為 Loadbaks 的用戶開發並在地下論壇上出售。根據開發者的描述，Vidar 可以竊取瀏覽器密碼、特定路徑和遮罩下的文件、銀行卡資料、冷錢包文件、Telegram 和 Skype 通訊記錄以及瀏覽器存取網站的歷史記錄。該竊取程序的租賃價格為每月 300 至 XNUMX 美元。竊取程式的管理面板和用作入口網站的網域位於 Vidar 開發者的伺服器上，這降低了買家的基礎設施成本。

如果存在惡意文件 msw070619.exe除了透過 Mephistophilus 登陸頁面分發外，還發現了一個惡意 DOC 文件 銀行對帳單0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1)，使用巨集將可執行檔拖曳到磁碟上。 DOC 文件 銀行對帳單0040918404.doc 被作為惡意活動的一部分而發送的惡意電子郵件的附件。

剖析攻擊

發現的信件 (MD5: 53554192ca888cccbb5747e71825facd) 已發送至運行內容管理系統的網站的聯絡地址。 Magento由此我們可以得出結論，惡意攻擊的目標之一是網店管理員，而感染的目的是取得管理面板的存取權限。 Magento 以及其他電子商務平台，以便隨後安裝嗅探器並從受感染的商店竊取客戶資料。

因此，整個感染方案包括以下步驟：

1. 攻擊者在主機上部署了 Mephistophilus Phishing Kit 管理面板 alloaypparel[.]com.
2. 攻擊者將惡意軟體放置在被駭的合法網站和自己的網站上以竊取密碼。
3. 攻擊者利用該網路釣魚工具包部署了多個登陸頁面來分發惡意軟體，還創建了帶有巨集的惡意文檔，將惡意軟體下載到用戶的電腦上。
4. 攻擊者發起了一場垃圾郵件活動，發送帶有惡意附件的電子郵件，以及安裝惡意軟體的登入頁面連結。至少部分攻擊者的目標是在線商店網站管理員。
5. 如果成功入侵了線上商店管理員的計算機，則竊取的憑證將被用來存取商店的管理面板並安裝 JS 嗅探器，以竊取在受感染網站上付款的用戶的銀行卡。

與其他攻擊的關係

攻擊者的基礎架構部署在 IP 位址為 200.63.40.2 的伺服器上，該伺服器屬於伺服器租賃服務。 Panamaservers[.]com在 FakeSecurity 活動之前，該伺服器被用於網路釣魚，以及託管各種竊取密碼的惡意軟體的管理面板。

根據 FakeSecurity 攻擊活動的具體情況，可以推測託管在該伺服器上的 Lokibot 和 AZORUlt 竊取程式的管理面板可能在 2019 年 XNUMX 月的攻擊中被同一組織使用。 這篇文章14 年 2019 月 18 日，未知的攻擊者透過群發郵件傳播 Lokibot 惡意軟體，郵件附件中包含惡意 DOC 檔案。 2019 年 XNUMX 月 XNUMX 日， 執行 分發安裝了 AZORUlt 惡意軟體的惡意文件。對此活動的分析顯示，IP 位址為 200.63.40.2 的伺服器上存在以下管理面板：

• http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
• http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)

網域 chuxagama[.]com 和 umbra-diego[.]com 由同一用戶註冊，電子郵件地址為 dicksonfletcher@gmail.com。該地址於 2016 年 XNUMX 月註冊了網域 worldcourrierservices[.]com，該網域隨後被用作詐騙公司 World Courier Service 的網站。

基於FakeSecurity惡意軟體活動使用竊取密碼的惡意軟體並透過電子郵件垃圾郵件傳播，以及使用IP位址為200.63.40.2的伺服器的事實，可以推測2019年XNUMX月的惡意軟體活動是由同一犯罪集團進行的。

指標

檔案名稱 Adob​​e-Reader-PDF-Plugin-2.37.2.exe

• MD5 3ec1ac0be981ce6d3f83f4a776e37622
• SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
• SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
• 尺寸615984

檔案名稱 Adob​​e-Reader-PDF-Plugin-2.31.4.exe

• MD5 58476e1923de46cd4b8bee4cdeed0911
• SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
• SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
• 尺寸578048

檔案名稱 Adob​​e-Reader-PDF-Plugin-2.35.8.exe

• MD5 286096c7e3452aad4acdc9baf897fd0c
• SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
• SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
• 尺寸1069056

檔案名稱 Adob​​e-Reader-PDF-Plugin-2.31.4.exe

• MD5 fd0e11372a4931b262f0dd21cdc69c01
• SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
• SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
• 尺寸856576

檔名 msw070619.exe

• MD5 772db176ff61e9addbffbb7e08d8b613
• SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
• SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
• 尺寸934448

• fiswedbesign[.]com
• alloaypparel[.]com
• firstofbanks[.]com
• magento-安全[.]org
• mage-security[.]org

• https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
• https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
• http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
• http[:]//thepinetree[.]net/docs/msw070619.exe

來源： www.habr.com