🧀 👷🏻 🖤 嗅探者：FakeSecurity家族如何感染在线商店 🧑🏿‍🤝‍🧑🏿 💅🏻 👁️

在2018年12月，Group-IB专家发现了一个名为FakeSecurity的新嗅探器家族。一个犯罪集团使用了它们，感染了CMS Magento运营的站点。分析表明，在最近的一次攻击中，攻击者使用恶意软件窃取密码进行了攻击。受害者是感染了JS嗅探器的在线购物网站的所有者。 CERT Group-IB信息安全事件响应中心警告了受攻击的资源，并且Threat Intelligence Group-IB的分析师Viktor Okorokov决定讨论如何识别犯罪活动。

回想一下，在2019年3月，Group-IB发布了“犯罪无罚：JS嗅探器家族分析”报告，该报告分析了15种不同的JS嗅探器家族，这些家族被用来感染超过2000个在线商店站点。

单一地址

在感染期间，攻击者将指向恶意脚本的链接注入到站点代码中，该脚本已加载，并且在付款时拦截了在线商店访客的支付数据，然后将其发送给攻击者服务器。在使用FakeSecurity进行攻击的早期，恶意脚本和嗅探门本身位于相同的magento-security [。] Org域中。

后来，一些Magento站点感染了相同的嗅探器家族，但是这次攻击者使用新域名托管了恶意代码：

fiswedbesign [。] com
alloaypparel [。] com

这两个域名都注册到了相同的电子邮件地址greenstreethunter @ india [。] Com中 。在第三个域名firstofbanks [。] Com的注册过程中提供了相同的地址。

令人信服的要求

对FakeSecurity犯罪组织使用的三个新域的分析显示，其中一些与2019年3月开始的恶意软件分发活动有关。攻击者分发了指向页面的链接，这些页面说用户需要安装缺少的插件才能正确显示文档。如果用户开始下载应用程序，则其计算机感染了恶意软件以窃取密码。

总共发现了11个独特的链接，这些链接导致伪造页面，提示用户安装恶意软件。

hxxps：//www.etodoors.com/uploads/Statement00534521 [。] html
hxxps：//www.healthcare4all.co.uk/manuals/Statement00534521 [。] html
hxxps：//www.healthcare4all.co.uk/lib/Statement001845 [。] html
hxxps：//www.healthcare4all.co.uk/doc/BankStatement001489232 [。] html
hxxp：//verticalinsider.com/bookmarks/Bank_Statement0052890 [。] html
hxxp：//thepinetree.net/n/docs/Statement00159701 [。] html
hxxps：//www.readicut.co.uk/media/pdf/Bank_Statement00334891 [。] html
hxxp：//www.e-cig.com/doc/pdf/eStmt [。] html
hxxps：//www.genstattu.com/doc/PoliceStatement001854 [。] html
hxxps：//www.tokyoflash.com/pdf/statment001854 [。] html
hxxps：//www.readicut.co.uk/media/pdf/statment00789 [。] html

恶意活动的潜在受害者收到了垃圾邮件，该信件包含指向第一级页面的链接。该页面是带有iframe的小型HTML文档，其内容是从第二级页面加载的。第二级页面是登录页面，其内容提示接收者安装某个可执行文件。对于此恶意活动，攻击者使用着陆页为主题，该着陆页的主题是安装Adobe Reader缺少的插件，因此，第一级页面模仿了指向PDF文件的链接，该文件在浏览器中以在线查看方式打开。第二级页面包含指向作为恶意活动一部分分发的恶意文件的链接，该链接将在单击“ 下载插件”按钮时下载。

对该活动中使用的页面进行的分析显示，通常第二级页面位于攻击者的域中，而第一级页面和直接恶意文件通常位于被黑的电子商务网站上。

恶意软件分发的示例页面结构

通过垃圾邮件，潜在的受害者会收到指向HTML文件的链接，例如hxxps：//www.healthcare4all [。] Co [。]英国/ manuals / Statement00534521 [。] Html 。通过引用的HTML文件包含一个iframe元素，该元素具有指向页面主要内容的链接；在此示例中，页面内容位于hxxps：// alloaypparel [。] com / view / public / Statement00534521 / PDF / Statement001854 [。] pdf 。从本示例中我们可以看到，在这种情况下，攻击者使用注册的域而不是被黑的站点来托管页面内容。在通过此链接显示的界面中，有一个“ 下载插件”按钮。如果受害者单击此按钮，将从页面代码中指定的链接下载可执行文件；在此示例中，可执行文件从hxxps下载：//www.healthcare4all [。] co [。] uk / manuals / Adobe-Reader-PDF-Plugin-2.37.2.exe ，也就是说，恶意文件本身存储在被黑客入侵的站点上。

我们时代的墨菲

对alloaypparel [。] Com域的分析显示，该恶意软件分发使用了Mephistophilus网络钓鱼工具包来创建和部署网络钓鱼页面以分发恶意软件：Mephistophilus使用几种类型的登录页面，提示用户安装该应用程序正常运行所需的所谓缺少插件。实际上，将为用户安装恶意软件，操作员可以通过管理面板Mephistophilus添加到该链接。

用于针对性网络钓鱼攻击的Mephistophilus系统于2016年8月在秘密论坛上启动。这是一个标准的网络钓鱼工具包，使用网络假冒软件提供伪装，以插件更新（MS Word，MS Excel，PDF，YouTube）的形式下载恶意软件，以查看文档或页面的内容。 Mephistophilus由地下论坛的用户开发，并以Kokain的昵称发售。为了使用网络钓鱼工具包成功进行感染，攻击者需要提示用户单击指向由Mephistophilus生成的页面的链接。无论网络钓鱼页面的主题如何，都会出现一条消息，提示您需要安装缺少的插件才能正确显示在线文档或YouTube视频。为此，Mephistophilus具有多种模仿合法服务的网络钓鱼页面：

Microsoft Office365 Word或Excel联机文档查看器
在线PDF查看器
YouTube克隆页面

受伤了

作为恶意软件活动的一部分，犯罪集团不仅限于使用自注册域名：攻击者还使用了多个先前已被FakeSecurity嗅探器感染的在线商店站点来存储分布式恶意文件的样本。

总共发现了5个独特链接，指向5个独特的恶意软件样本，其中4个存储在运行CMS Magento的被黑客入侵的网站上：

hxxps：//www.healthcare4all [。] co [。]英国/手册/ Adobe-Reader-PDF-Plugin-2.37.2.exe
hxxps：//www.genstattu [。] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxps：// firstofbanks [。] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
hxxp：//电子烟[。] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxp：// thepinetree [。] net / docs / msw070619.exe

此活动中分发的恶意软件样本是Vidar样式器的样本，旨在从浏览器和某些应用程序中窃取密码。他还知道如何根据指定的参数收集文件并将其传输到管理面板，这有助于例如盗窃加密货币钱包文件。 Vidar提出了“恶意软件即服务”：所有收集的数据都传输到网关，然后发送到集中式管理面板，在该面板中，样式创建者的每个购买者都可以查看来自受感染计算机的日志。

能干的小偷

Vidar Styler于2018年11月出现。它是由用户使用化名Loadbaks开发并投放到地下论坛上出售的。根据开发者的描述，Vidar可以从浏览器，某些路径和掩码的文件，银行卡数据，冷钱包文件，Telegram和Skype对应关系以及网站的浏览历史记录中窃取密码。造型器的租金为每月250至300美元。样式器的管理面板和用作门的域位于Vidar作者的服务器上，从而降低了客户的基础架构成本。

对于msw070619.exe恶意文件，除了使用Mephistophilus登录页面进行传播之外，还检测到恶意DOC文件BankStatement0040918404.doc （MD5：1b8a824074b414419ac10f5ded847ef1） ，该文件使用宏将该可执行文件拖放到了磁盘上。 BankStatement0040918404.doc DOC文件已作为恶意电子邮件的附件附加，该电子邮件的分发是恶意活动的一部分。

准备攻击

检测到的信件（MD5：53554192ca888cccbb5747e71825facd）已发送到运行CMS Magento的站点的联系地址，从中可以得出结论，在线商店的管理员是恶意活动的目标之一，并且感染的目的是访问Magento和其他电子商务管理面板平台，用于后续安装嗅探器并从受感染的商店盗窃客户数据。

因此，整个感染方案包括以下步骤：

攻击者在主机alloaypparel [。] Com上部署了Mephistophilus网络钓鱼工具包管理面板。
攻击者将恶意密码盗窃恶意软件放置在被黑客入侵的合法网站以及他们自己的网站上。
使用网络钓鱼工具包，攻击者部署了多个登陆页面来分发恶意软件，并创建了带有宏的恶意文档，这些宏将恶意软件下载到用户的计算机上。
攻击者进行了垃圾邮件活动，发送带有恶意附件的信件，以及带有用于安装恶意软件的登录页面的链接。攻击者的目标至少一部分是在线商店站点的管理员。
如果管理员计算机的计算机被成功破解，则所窃取的凭据将用于访问商店的管理面板并安装JS嗅探器，以窃取在受感染站点上付款的用户的银行卡。

链接到其他攻击

攻击基础结构部署在IP地址为200.63.40.2的服务器上，该服务器属于Panamaservers [。] Com服务器租赁服务。在FakeSecurity活动之前，此服务器曾用于网络钓鱼，还用于托管各种恶意程序的管理面板以窃取密码。

根据FakeSecurity活动的具体情况，我们可以假设位于此服务器上的Lokibot和AZORUlt样式器的管理面板可以在2019年1月的同一组的先前攻击中使用。根据这篇文章，在2019年1月14日，未知攻击者通过大量邮寄带有附件中的恶意DOC文件的方式分发了Lokibot恶意软件。在2019年1月18日，还对安装AZORUlt恶意软件的恶意文档进行了邮件列表发送。对该活动的分析显示，服务器上的以下管理面板位于IP地址200.63.40.2上：

http [：] // chuxagama [。] com /网络获取/面板/五个/ PvqDq929BSx_A_D_M1n_a.php（Lokibot）
http [：] // umbra-diego [。] com / wp / Panel /五/ PvqDq929BSx_A_D_M1n_a.php（Lokibot）
http [：] // chuxagama [。] com /网络获取/面板/五/ index.php（AZORUlt）

域名chuxagama [。] Com和umbra-diego [。] Com由同一用户注册，电子邮件地址为dicksonfletcher@gmail.com。相同的地址于2016年5月用于注册worldcourrierservices [。] Com域名，然后将该域名用作欺诈公司World Courier Service的站点。

基于以下事实，作为FakeSecurity恶意软件活动的一部分，攻击者使用恶意软件窃取密码并通过垃圾邮件将其分发，并且还使用IP地址为200.63.40.2的服务器，因此可以假定进行了2019年1月的恶意活动同一犯罪集团。

指标

文件名Adobe-Reader-PDF-Plugin-2.37.2.exe

MD5 3ec1ac0be981ce6d3f83f4a776e37622
SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
尺寸615984

文件名Adobe-Reader-PDF-Plugin-2.31.4.exe

MD5 58476e1923de46cd4b8bee4cdeed0911
SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
尺寸578048

文件名Adobe-Reader-PDF-Plugin-2.35.8.exe

MD5 286096c7e3452aad4acdc9baf897fd0c
SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
尺寸1069056