今年早些時(shí)候，一個(gè)以電子商務(wù)網(wǎng)站為目標(biāo)的網(wǎng)絡(luò)犯罪組織發(fā)起了一場“多階段惡意活動”，目的是散布信息竊取器和基于JavaScript的支付竊取器。

新加坡網(wǎng)絡(luò)安全公司Group-IB在今天發(fā)布的一份新報(bào)告中，將這一行動歸因于同一個(gè)組織，該組織與另一次針對網(wǎng)商的攻擊有關(guān)。該攻擊使用竊取密碼的惡意軟件，用偽造的JavaScript-sniffers（JS-sniffers）感染他們的網(wǎng)站。

這項(xiàng)活動從2月開始到9月結(jié)束，共分四波進(jìn)行。攻擊者利用釣魚網(wǎng)頁和帶有惡意宏的誘餌文件，將Vidar和Raccoon信息竊取器下載到受害者系統(tǒng)上。

研究人員指出，這次攻擊的最終目的是通過幾種攻擊載體和工具竊取支付和用戶數(shù)據(jù)，從而傳播惡意軟件。

這些假網(wǎng)頁是使用Mephistophilus網(wǎng)絡(luò)釣魚工具包創(chuàng)建的，攻擊者可以利用該工具創(chuàng)建和部署專為分發(fā)惡意軟件而設(shè)計(jì)的網(wǎng)絡(luò)釣魚登錄頁面。

去年11月，IB集團(tuán)的研究人員在對網(wǎng)絡(luò)犯罪組織的策略進(jìn)行分析時(shí)表示：“攻擊者將偽造的頁面鏈接發(fā)送給受害者，告知受害者缺少正確顯示文檔所需的插件。如果用戶下載了該插件，則他們的計(jì)算機(jī)就感染了竊取密碼的惡意軟件?！?/p>

在今年2月和3月的第一波攻擊中，Vidar密碼竊取器可以攔截用戶瀏覽器和各種應(yīng)用程序的密碼，但隨后的迭代改用Raccoon竊取器和AveMaria RAT來實(shí)現(xiàn)目標(biāo)。

去年Cybereason首次記錄的Raccoon具有許多功能，可以與命令控制（C2）服務(wù)器進(jìn)行通信，以竊取數(shù)據(jù)——包括截圖、信用卡信息、加密貨幣錢包、存儲的瀏覽器密碼、電子郵件和系統(tǒng)詳細(xì)信息。

Raccoon的獨(dú)特之處在于，它通過向電報(bào)通道（“blintick”）發(fā)出請求以接收C2服務(wù)器的加密地址，從而繞過C2服務(wù)器的阻攔。此外，它還通過聊天服務(wù)為社區(qū)問題和評論提供24×7的客戶支持。

同樣，AveMaria?RAT具有持久性，可以記錄擊鍵信息、注入惡意代碼以及竊取敏感文件等。

Vidar和Raccoon都以惡意軟件即服務(wù)（MaaS）的形式出售。Vidar竊取器的租金為每月250美元到300美元不等，Raccoon每月的租金為200美元。

除了上述四個(gè)階段外，Group-IB還觀察到了一個(gè)過渡階段，即2020年5月至2020年9月。在此期間，20家網(wǎng)店感染了FakeSecurity系列改良版本的JS-sniffer。

有趣的是，用于分發(fā)Vidar和Raccoon竊取器的基礎(chǔ)設(shè)施與用于存儲sniffer代碼和收集被盜銀行卡數(shù)據(jù)的基礎(chǔ)設(shè)施有相似之處。

今年1月初，國際刑警組織抓獲了三名與“GetBilling”組織有關(guān)聯(lián)的人。這三個(gè)人參與了代號為Night Fury的行動。他們在印度尼西亞開展了一個(gè)JS-sniffer活動。

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/