You dirty RAT:地下网络犯罪世界的“黑吃黑”

简介:

目前,键盘记录器依然在地下网络黑市活跃,因为犯罪分子可通过部署键盘记录器,窃取密码并劫持恶意软件/僵尸网络控制面板。在获取受害者的邮箱密码后,犯罪分子就可以实施比勒索软件更加大胆的攻击行为,例如商业电子邮件攻击(也称之为“ CEO欺诈”或“电汇欺诈”)。

在商业电子邮件攻击(BEC)中,攻击者可以利用盗取的邮箱密码登录邮箱并发送电子邮件给受害者,这些邮件看起来就像是从受害者公司CEO的电子邮箱账号中发出的。

在此类商业电子邮件攻击中,攻击者不会像一般的勒索软件一样,仅勒索300美元的比特币做酬劳,而是发布伪造的官方指令,命令受害者转移大规模的资产。资产规模通常在10万美元甚至更多,而且此类钓鱼电子邮件会声称,这些资金是作为企业关键业务开展的一部分,如收购,以证明这些资金的紧急性和大额化。

FreeBuf百科:关于商业电子邮件诈骗的详细报告,请参见《BEC诈骗横行,企业员工如何防钓鱼?》

换句话说,键盘记录器中仍然存在“金矿”可捞。

目前最流行的键盘记录器之一就是KeyBase,在被其开发者抛弃前,KeyBase其实一直是被作为合法的应用程序销售的一款产品:

但是,目前KeyBase却被犯罪分子部署在地下网络犯罪市场中。

黑吃黑,想怎样?

有时候,黑客之间也存在“黑吃黑”的勾当,那可不,下面我要向大家介绍的就是这样一个故事…

据Sophos称,去年,一名黑客花费了大量时间攻击其它黑客,几乎与攻击普通用户的频率相当。这一名为“Pahan”的黑客还被称为Pahan12、Pahan123、或Pahann,他一直在多个黑客论坛出售各种黑客工具,但Sophos发现他出售的所有工具均被恶意软件感染。

例如,在2016年7月,Pahan就在LeakForums上使用“Pahan12”这一昵称,提供免费版的PHP RAT(远程访问木马)—SLICK RAT。

该SLICK RAT下载包中包含一个安装程序:

Sophos研究人员Gabor Szapannos表示,SLICK RAT可以通过KeyBase键盘记录器感染受害者,随后KeyBase可以收集密码并将数据返回给一个数据收集网站(该网站依然与Pahan 相关,因为URL中包含pahan123的文本)。

我们的猜测是,“Pahan”追踪登录LeakForums或其他黑客站点的受害者,通过各种恶意软件感染同行黑客, 以强化其在地下黑市中的排名。  

互联网充斥着“黑客论坛”,黑客们在这里了解黑客知识,甚至下载或购买黑客工具。如同在offensivecommunity(属于一个“具备大量黑客教程收集库的黑客论坛” )上一样,“Pahan”对其他黑客论坛的用户提供相同的RAT,截图如下:

“黑吃黑”的历史

有趣的是,Pahan这种推销一种网络犯罪工具却用另一种软件感染它的把戏并不只有上面这么一出:

除2016年7月的那次外,Sophos还发现了2起 Pahan试图通过恶意软件感染黑客的案例:

2015年11月,Pahan在一个黑客论坛提供Aegis Crypter(将恶意软件从杀毒扫描器下混淆并隐藏的工具)免费下载途径。

但是Pahan提供的Aegis软件版本中存在自己的“秘密武器”:一个名为“Troj/RxBot ”的僵尸木马,它可以将受感染的计算机连接到IRC服务器上,进而发送远程指挥和控制指令到僵尸网络中。服务器中的IRC频道被“pahan12 ”和“pahan123”(均为pahan昵称)控制。 

此外,在2016年3月,“Pahann”(Pahan 又一昵称)在地下网站兜售一个版本的KeyBase工具包,用于生成键盘 记录文件,如图所示:

有趣的是,该KeyBase恶意软件生成工具包自身被感染了,如图所示:

如上图的预警信息所示,Pahan通过COM Surrogate恶意软件感染买家,之后再次下载RxBot(将计算机束缚在僵尸网络内的木马)。

截止目前,对于Pahan而言事情变得日益复杂,他出售SLICK RAT又通过KeyBase感染它;出售Aegis Crypter又利用Troj/RxBot恶意软件感染它;出售KeyBase随后又用COM Surrogate(传播Troj/RxBot 以及 Cyborg)感染它…

接下来故事如何演变?

随后的事情并没有同Pahan(又名Pahan12、Pahan123、或Pahann)预想地一般顺利…

2016年8月11日,当我们回顾过去一段时间Pahan做了什么时,我们在这些有关他的数据和帖子中找到了这样一个有趣的截图:

我们不能肯定,但是我们认为Pahan/12/123/n很有可能遭到“反噬”,自己也成功被一个或多个恶意软件感染,我们认为上面的截图是从他自己的电脑中截取的。

我想,也许Pahan下一步就是要与我们在上图中看到的这些,他的谷歌云端硬盘账号中的恶意软件争夺属于自己的文件了(反噬之痛,不知感受如何呢….)

所以,如果让你写一篇“Pahan接下来将会做什么”的故事,你会如何构思呢?你打算说点什么呢?(如果你可以选择,你希望故事会是怎么样呢?)

本文转自d1net(转载)

相关文章
|
安全
黑客入侵交警计算机系统删交通违法记录牟利
据新华社10月14日电 利用当网管的机会,破解密码,非法进入交警计算机系统为他人删除车辆交通违法记录牟利。辽宁省鞍山市铁西区检察院透露,当地某公司员工程尚军因涉嫌破坏计算机信息系统罪,已于10月初被依法提起公诉。
1488 0
美军称五角大楼遭网络袭击 2.4万份敏感文件被盗
美军主管网络安全事务的国防部副部长威廉·林恩14日称,今年3月五角大楼遭受历史上最严重的一次网络袭击,计有2.4万份敏感文件被盗走。 林恩当天在位于华盛顿的美国国防大学发表演讲,正式公布美军第一份《网络空间作战战略》(非机密部分),期间他披露了3月份五角大楼遭受网络袭击的情况。
778 0
|
安全 Windows
真相浮出:法国警方截获6个涉及WannaCry案件的Tor中继服务器
本文讲的是真相浮出:法国警方截获6个涉及WannaCry案件的Tor中继服务器,上个月,WannaCry勒索软件在全球范围内爆发,短短72个小时内就成功感染了150多个国家的30多万台计算机设备,造成了极大的影响。
1772 0
|
存储 安全 区块链
下一场金融危机很可能由网络犯罪触发
本文讲的是下一场金融危机很可能由网络犯罪触发,货币及支付交易的数字化,很容易被有组织的犯罪团伙(OCGs)入侵、利用或盗窃。
923 0
下一篇
无影云桌面