欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

渗透思路 | 加密货币矿工和信用卡信息泄露

来源:本站整理 作者:佚名 时间:2018-04-13 TAG: 我要投稿

本文中所引用的假Flash更新文件,目前已被攻击者从GitHub转移到了port.so[.]tl上,并且bit.wo[.]tc脚本也被转移到了byte.wo[.]tc。

不久前,我们曾发表过一篇有关受感染的Magento站点,被黑客用于推送假Flash Player更新banner,盗取用户凭据的报告文章。在这篇文章中,我们将揭示与该攻击密切相关的一个非常热门的话题——加密货币和挖矿。
信息窃取木马(infostealer)分析
我们发现的恶意软件二进制文件已被Themida打包过,因此文件分析并没有提供太多有用的信息(这也解释了我们之前在VirusTotal上看到的,所有常规检测结果)。快速的活动分析表明,该恶意软件的行为是典型的信息窃取木马。最初我们猜测它是一个Lokibot。
在阅读过我们之前发布的帖子后,恶意软件研究人员Paul Burbage认为该恶意软件应该是另一个具有相似功能的infostealer,称之为Azorult v2.9
确切地说,Azorult v2.9是恶意软件。这个家族是一种infostealer恶意软件,并在俄罗斯的地下黑客论坛上被出售。
C2 gate: hxxp://port.so[.]tl/log.php
C2 admin: hxxp://port.so[.]tl/index.php pic.twitter.com/yDZwWRSWhI
— Paul Burbage (@hexlax) 2018.3.15
Paul提到该恶意软件还会在受感染的计算机上分发加密货币矿工。Sucuri专注于网站,对于客户端恶意软件并不擅长,但是,我们也发现了这种攻击与加密货币矿工的联系。
与之关联的网站
当MalwareBytes的同事向我分享了该恶意软件的PCAP文件后,我分析了它与其它站点的关系。
除此之外,我还发现了一个下载这个文件的请求:hxxp://frogloud[.]com/TOP/wp-content/uploads/2016/cmd.bin
VirusTotal快速恶意软件识别的检测率为21/66。
之后,我注意到frogloud[.]com本身是一个合法的网站,但已被黑客控制。除了恶意的cmd.bin文件外,该站点还有两个来自siteverification[.]online的可疑脚本。

hxxp://siteverification[.]online/lib/status.js和hxxp://siteverification[.]online/lib/lib.js拥有相同的内容并在隐藏的iframe中加载站点的主页:

让我们来查看下这个页面。这是一个Apache服务器的默认欢迎页面,并没有配置真实的站点。

别急,让我们再查看下这个页面的源代码。

在HTML代码的底部我们发现了一个CoinHive矿工,其网站密钥为”f63LSXxFY7jdZhns0PTiz67v8tU03If8“。
所以,这些脚本实际上做的只是注入一个iframe,一旦有访问者访问该网站就会成为黑客们的挖矿工具,为其挖掘所罗门币。
相关感染
让我们来检查其他感染了相同恶意软件的站点。PublicWWW为我们快速找到了1787个受到感染的网站,它们的恶意内容均来自siteverification[.]online。
除了我们在frogloud[.]com上发现的“status.js”和“lib.js”文件之外,还有一些其他的变体,如“info.js”,“stat.js”,甚至 一些直接的iframe注入。
就像我们在上一篇文章中看到的那样,受影响的网站大多是Magento。当对它们扫描时,我们发现多数网站都受到这两种感染 -即来自bit.wo[.]tc的假Flash更新和来自siteverification[.]online的加密货币矿工。

这意味着这些站点很可能在同一时间,被不同的黑客组织所利用。
我们还发现一些其他与bit.wo[.]tc假Flash更新共存的常见感染 – 例如,旧的Magento重定向脚本,或来自hxxps://onlinestatus[.]site/js/status.js的信用卡信息盗取脚本 (PublicWWW)
Magento恶意软件的常见特性
另一方面也有很多的迹象表明,这些最近的感染可能是相关的,因为它们具有许多共同的特征并且共存于相同的网站上。
恶意链接中的路径模式
假Flash更新:bit.wo[.]tc/js/lib/js.js
信用卡盗取:onlinestatus[.]site/js/status.js
加密货币矿工:siteverification[.]online/lib/status.js
加密货币矿工2017年九月回归:hxxps://camillesanz[.]com/lib/status.js
默认的Apache2 Debian页面
如果我们打开onlinestatus[.]site网站的主页,我们会看到与siteverification[.]online主页相同的默认Apache2页面 – 不同的是这次并没有发现加密货币矿工。但是在同一台服务器上(185.202.103.37)有另外一个域 – onlinestatus[.]stream – 其默认也是“Apache2的欢迎页面”并且也包含了一个注入的矿工,该网站密钥为“ZjAbjZvbYgw68hyYGhrl7xgDEqUK9FiZ”,以及一个混淆的CoinHive JavaScript保存在一个我们熟悉的路径模式文件中:onlinestatus[.]stream/lib/status.js。
api2.checkingsite.site
让我们回到由假Flash更新产生的PCAP文件,在那里我们看到一系列POST请求到api2.checkingsite[.]site (e.g. POST /2.0/method/checkConnection, POST /2.0/method/error, POST /4.0/method/installSuccess)。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载