完美世界,梦入神机

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

有黑客正在專門使用Raccoon信息竊取程序竊取支付卡信息

今年早些時候，一個以電子商務(wù)網(wǎng)站為目標(biāo)的網(wǎng)絡(luò)黑客組織曾發(fā)起過一次“多階段惡意活動”，目的是傳播一個信息竊取程序和基于javascript的支付卡竊取程序。

創(chuàng)新互聯(lián)長期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為三穗企業(yè)提供專業(yè)的成都做網(wǎng)站、網(wǎng)站設(shè)計、外貿(mào)營銷網(wǎng)站建設(shè)，三穗網(wǎng)站改版等技術(shù)服務(wù)。擁有十多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

新加坡網(wǎng)絡(luò)安全公司Group-IB最近通過跟蹤研究，發(fā)現(xiàn)本次攻擊的黑客使用了JavaScript-sniffers (JS-sniffers)，早在2019年，Group-IB的專家就確定了至少38個不同的JS-sniffer家族，目前這個數(shù)字還在不斷增長，已經(jīng)超過了PC和Android的銀行木馬數(shù)量。

大多數(shù)JS-sniffer家族的設(shè)計目的是從特定CMS(內(nèi)容管理系統(tǒng))上運(yùn)行的網(wǎng)站的支付表單中竊取信息，然而也有通用的，他們可以從支付表單中竊取信息，并且不需要針對特定網(wǎng)站進(jìn)行修改。

這次攻擊活動共分四波進(jìn)行，從2月開始到9月結(jié)束，攻擊者們利用自定義的釣魚網(wǎng)頁，誘使帶有惡意宏的文件將Vidar和Raccoon信息竊取程序下載到受害者系統(tǒng)中。Raccoon是一款用于偵察和信息收集的工具。它將為我們完成從獲取DNS記錄，TLS數(shù)據(jù)，WHOIS信息檢索，WAF存在檢測以及目錄爆破，子域枚舉等所有操作，每次掃描結(jié)果都將會輸出保存到相應(yīng)的文件中。

研究人員指出，攻擊的最終目標(biāo)是通過幾種攻擊媒介和工具來竊取支付和用戶數(shù)據(jù)，以傳播惡意軟件。

這些虛假網(wǎng)頁是使用Mephistophilus釣魚套件創(chuàng)建的，該套件允許攻擊者創(chuàng)建和部署用于傳播惡意軟件的釣魚登陸頁面。

去年11月，Group-IB的研究人員在一份針對該網(wǎng)絡(luò)犯罪集團(tuán)策略的分析報告中解釋道：

“攻擊者將偽造的頁面鏈接發(fā)送給受害者，以告知受害者缺少正確顯示文檔所需的插件。如果用戶下載了該插件，則他們的計算機(jī)感染了竊取密碼的惡意軟件?！?/p>

在2月和3月的第一波攻擊中，用戶使用了Vidar密碼竊取程序來攔截用戶瀏覽器和各種應(yīng)用程序的密碼，隨后的攻擊換成了Raccoon 竊取程序和AveMaria RAT以實(shí)現(xiàn)其目標(biāo)。

Vidar是一種相對較新的惡意軟件形式，它的目標(biāo)是大量受害者的信息，包括密碼、文檔、屏幕截圖、瀏覽器歷史記錄、消息數(shù)據(jù)、信用卡詳細(xì)信息甚至存儲在雙因素身份驗證軟件中的數(shù)據(jù)。

Vidar還可以定位存儲比特幣和其他加密貨幣的虛擬錢包，且它具有高度可定制性。

去年，Cybereason首次曝光了Raccoon，它具有廣泛的功能，可以通過與命令控制(C2)服務(wù)器通信來竊取數(shù)據(jù)，包括截圖、信用卡信息、加密貨幣錢包、存儲的瀏覽器密碼、電子郵件和系統(tǒng)信息。

Raccoon的獨(dú)特之處在于，除了通過聊天服務(wù)為社區(qū)問題和評論提供24×7客戶支持之外，它還通過向一個電報頻道(“blintick”)發(fā)出請求來接收C2服務(wù)器的加密地址，從而繞過了C2服務(wù)器的監(jiān)控。

同樣，AveMaria RAT也能夠確保持久性、記錄鍵盤輸入信息、注入惡意代碼和泄漏敏感文件等。

Vidar和Raccoon都通過地下論壇以惡意軟件即服務(wù)(MaaS)的形式出售，Vidar竊取程序的租金從每月250美元到300美元不等，而Raccoon每月的使用費(fèi)為200美元。

除了上述四個階段外，Group-IB還觀察到了一個過渡階段，即2020年5月至2020年9月，在此階段，多達(dá)20個在線商店都感染了FakeSecurity家族中經(jīng)過迭代的JS-sniffer。

有趣的是，用于傳播Vidar和Raccoon的竊取程序的基礎(chǔ)設(shè)施被重新使用來存儲嗅探器代碼和收集被盜銀行卡數(shù)據(jù)，這才使得研究人員將這兩個活動聯(lián)系在一起。

這種發(fā)展又表明，即使執(zhí)法機(jī)構(gòu)正在努力解決網(wǎng)絡(luò)犯罪問題，攻擊者也正在加緊努力，竊取電子商務(wù)網(wǎng)站的付款信息。今年一月初，國際刑警組織利用Group-IB提供的數(shù)字取證證據(jù)，逮捕了三個與“GetBilling”組織有關(guān)的人。

本文翻譯自：https://thehackernews.com/2020/12/payment-card-skimmer-group-using.html

網(wǎng)站欄目：有黑客正在專門使用Raccoon信息竊取程序竊取支付卡信息
文章源于：http://m.fisionsoft.com.cn/article/ccdhiii.html

新聞中心

其他資訊