按图索骥，最终发现数字犯罪天堂-51CTO.COM

网络犯罪分子很少重复发明轮子，因为从勒索软件到窃密程序，地下市场有各种各样可供购买的工具包，任何人都可以快速上手。

研究人员近期发现了名为 Mr.SNIFFA 的信息窃密木马较为活跃，该恶意软件针对电子商务网站及其客户进行信息窃密。近年来，该信息窃密木马采用了各种混淆技术和隐蔽技术来加载其恶意代码并回传窃取的信用卡数据。

通过研究人员的深入分析，揭露了其部署在俄罗斯托管服务提供商 DDoS-Guard 上的攻击基础设施。最终发现了集合加密货币诈骗、比特币“混合器”、恶意软件分发等犯罪行为的“数字犯罪天堂”。

概览

攻击者会尽量避免在常被安全分析人员注意的地方留下明显的痕迹，尝试只加载一次恶意代码或者以某种毫无防备的格式动态加载。

image.png-170.9kB

攻击链

研究人员发现一个电子商务网站被注入了一个指向以美国企业家和比特币拥趸 Michael J. Saylor（saylor2xbtc[.]com）来命名的外部网站的链接。尽管注入的网站与加密货币毫无关联，但针对加密货币的兴趣仍然昭然若揭。

image.png-123.4kB

恶意流量

恶意 Skimmer 代码在 DOM 中动态解压，收集信用卡支付信息并且对外泄露。

技术细节

Mr.SNIFFA Skimmer

2020 年春天，犯罪论坛中就出现了名为 Mr.SNIFFA 的信息窃密恶意软件的广告。该产品声称其恶意代码对浏览器工具不可见，并且对不同的浏览器兼容性较好。更重要的是，恶意软件开发者提供免费的 Bug 修复与 7×24 小时技术支持。

image.png-213.4kB

广告的推文

广告也不全是虚假宣传，有一部分后来也被证实了。

image.png-200.6kB

代码升级

Loader

第一部分是从 elon2xmusk[.]com 加载的 JavaScript 代码，也是经过混淆的。

image.png-268.7kB

Loader 代码

该 Loader 旨在加载部署在 2xdepp[.]com/stylesheet.css 上的特殊 CSS 文件，攻击者的攻击是一环套一环的，就是连接在一起才能生效。

核心代码

文件的起始处会包含许多标准 CSS 代码，示例文件中是渲染字体的代码，但也有很多其他代码。

image.png-220.8kB

隐藏的代码

在文本编辑器中打开可以发现文件超过 8.8 万行代码，其中包括大量的空格、制表符和换行符。空白数据会通过原始 Loader（elon2xmusk[.]com/jquery.min.js）转换为二进制代码。

Denis Sinegubko 和 Eric Brandel 之前披露过关于 Mr.Sniffa 的这一技术。

image.png-150.4kB

空白编码特性

解码这段代码后，最终能得到与 Eric Brandel 同款恶意代码。

image.png-326kB

相同的恶意代码

数据外带

在交易页面攻击者注入了付款代码，但攻击者存在语法错误（please enter your card details and will charge you later）。窃取的信用卡数据将使用相同的特殊字符编码回传给攻击者，以图片文件的形式发送。

image.png-321.6kB

通过图片文件进行数据泄露

攻击基础设施

DDoS-Guard

攻击活动中涉及到的 3 个域名都曾经与 DDoS-Guard 公司有关，该俄罗斯公司会为存在法律问题的网站提供保护。

image.png-126.4kB

攻击基础设施关联

研究人员清楚，此类攻击者通常都需要依赖防弹主机，攻击者可以不受干扰地进行犯罪活动。

其他犯罪活动

通常，犯罪分子会通过不同的服务进行资金交易。跟踪被窃取的信用卡是困难且耗时的。

在与 Loader 部署的域名相同的 IP 地址（185.178.208.174）上，有一家虚假网站模仿零售商 Houzz 的网站。

image.png-330.9kB

虚假网站对比

在与部署恶意 CSS 文件相同的 IP 地址（185.178.208.181）上，也能关联发现一个销售控制面板、RDP 与 Shell 的网站（orvx[.]pw）。

image.png-251.5kB

地下销售市场

以及一个加密货币“混合器”服务（bestmixer[.]mx），犯罪分子通常都会使用这种服务。

image.png-818.2kB

比特币混合器服务

同一个子网的 185.178.208[.]190 绑定了 blackbiz[.]top 域名，是一个宣传恶意软件服务的犯罪论坛：

image.png-527.9kB

犯罪论坛

额外的犯罪服务

研究人员发现该攻击团伙运营的域名中都有 2x，并且与加密货币有关：

saylor2xbtc[.]com
elon2xmusk[.]com
2xdepp[.]com

通过域名查询，查找其他域名：

domain_regex=^[a-z-]{0,}2x[a-z-]{0,}.[a-z]{1,}$
asn_starts_with=DDOS-GUARD
last_seen_min=2022-12-31

image.png-228.7kB

在 SilentPush 上进行查询

加密货币骗局

网站声称是 Tesla、Elon Musk、MicroStrategy 或 Michael J. Saylor 的官方活动，通过赚取数千个比特币来欺骗他人。根据 Group-IB 的报告，加密货币骗局在 2022 年上半年增长了五倍。

image.png-562.9kB

加密货币诈骗网站

恶意软件分发

攻击者使用了许多模仿 AnyDesk、MSI afterburner、Team Viewer 或 OBS 的域名来进行恶意软件分发。

image.png-161kB

虚假 AnyDesk 网站

出售窃取信息

以调查记者布 Brian Krebs 的名字命名的网站，为了出售被盗的信用卡。该网站域名与其他先前已知的域名同步，攻击者 Brian Krebs 也为该网站做了多次宣传。

image.png-917.3kB

登录页面

image.png-331.4kB

窃取的信息

网络钓鱼即服务

Robin Banks 是一个网络钓鱼即服务平台，于 2022 年 3 月首次被发现，专门销售网络钓鱼工具包。后来，Robin Banks 的基础设施也从 robinbanks[.]su 迁移到与 DDos-Guard 有关的 beta4us[.]click。

image.png-95.2kB

登录页面

结论

分析人员跟踪了使用 DDoS-Guard 的 Mr.SNIFFA 工具包和攻击基础设施，按图索骥发现了相关联的各种数字犯罪。这些犯罪分子通常是互相勾连的，聚合各种数据和证据有助于更好地理解数字犯罪的生态系统、跟踪其发展趋势。