欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

剖析sextortion骗局

来源:本站整理 作者:佚名 时间:2018-11-08 TAG: 我要投稿

自今年7月以来,越来越多的sextortion攻击在互联网上传播。过去几个月,思科Talos一直在调查这些活动。大多情况下,垃圾邮件发送者从公开泄露的数据中获取电子邮件地址和密码,然后使用这些数据来促进sextortion攻击。虽然攻击者实际上并没有任何视频来暴露受害者,但他们通过邮件声称:如果受害者在一定时间内没有支付勒索款项,那么他们将传播视频。虽然这些攻击已持续数月,但Talos还是希望仔细研究下其中的一些活动,以了解为什么攻击者的威胁看似很薄弱,但还是有用户被欺骗,且向攻击者发送了大量比特币。通过详细研究sextortion垃圾邮件活动,研究人员可以深入了解这些犯罪分子的运作方式。

sextortion电子邮件的示例,其中包含对邮件正文措辞的轻微改动
一、SEXTORTION分析
为更深入的了解sextortion骗局,Talos提取并分析了两个非常相似的sextortion垃圾邮件活动相关的消息。我们分析的第一个垃圾邮件活动始于2018年8月30日,第二个活动开始于2018年10月5日。在撰写此博客时,这两个攻击仍处于活跃状态。
Talos从这两个sextortion攻击活动中提取了SpamCop收到的所有邮件,从2018年8月30日到2018年10月26日,共计58天的垃圾邮件。作为这两个sextortion活动的一部分,发送的每条消息都包含一个From:头部与以下两个正则表达式之一匹配:
From =~ /Aaron\d{3}Smith@yahoo\.jp/
From =~ /Aaron@Smith\d{3}\.edu/
1.邮件总数
总的来说,SpamCop收到了233,236封与“Aaron Smith” sextortion活动相关的电子邮件。消息是从137,606个独立的IP地址发送的。此活动中的绝大多数发送方IP,120,659个(87.7%),发送了两条或更少的消息。

SpamCop收到的Sextortion电子邮件数量
发件人IP分布在多个国家,但大约50%的信息仅来自五个国家:越南(15.9%),俄罗斯(15.7%),印度(8.5%),印度尼西亚(4.9%)和哈萨克斯坦(4.7%)。如果其中一些国家看起来很熟悉,那是因为印度和越南之前被认为拥有大量被Necurs僵尸网络感染的机器,Necurs是一个恶意软件分发商。

按国家/地区统计发件人IP地址
尽管在这些攻击中发送了超过233,000封电子邮件,但单独收件人的数量实际上相当低。 Talos仅发现15,826个不同的受害电子邮件地址。这意味着攻击者向每个收件人平均发送近15个sextortion垃圾邮件。令人吃惊的是,在我们搜集的数据中,其中一位不幸的受害者被发送了354次。
2.支付
每个sextortion垃圾邮件都包含付款要求。攻击者请求的付款根据具体的攻击而有所不同,但在本例中,它是一个随机生成的数字,由1到7之间的整数后跟三个零($ 1,000  –  $ 7,000)组成。这几种不同的支付金额在整个电子邮件集中的频率几乎相同,这表明攻击者并没有为每个受害者量身定制付款要求。
3.钱包
除了支付需求之外,每个sextortion消息还包含比特币(BTC)钱包地址以便从受害者接收付款。总的来说,Talos确定了与这两个垃圾邮件活动相关的58,611个独特比特币钱包地址。每个比特币钱包平均对应四条消息。在大约58,000个比特币钱包中,只有83个钱包拥有正余额。然而,这83个钱包的余额加起来为23.3653711比特币,相当于146,380.31美元。不算太糟糕的消息是,攻击者只分发了大约60天这种特殊的骗局,而且实际上并没有任何有关受害者的材料。
如果看一下独立比特币钱包的数量和独立受害者电子邮件地址的时间,可以发现攻击者定期向正在进行的攻击注入新鲜数据。独立的比特币钱包的数量趋于达到峰值,然后随着时间的推移逐渐减少,直到另一批新的攻击者生成的比特币钱包它再次达到峰值。新钱包地址的最后一次注入发生在10月9日。随着时间的推移,对于独立的邮件接收者也可以看到相同的情况,大约在10月9日左右也出现了大量新的收件人。

 独立/重复的比特币钱包和收件人电子邮件地址
不幸的是,当进一步挖掘具有正余额的个别比特币钱包时,我们注意到了钱包支付金额的一些奇怪之处。几个钱包收到了远远低于此特定攻击活动所要求的最低1,000美元付款的转账。付款金额很低,不属于比特币价格波动可以解释的范围。

 在Aaron Smith sextortion垃圾邮件中发现的比特币钱包包含远低于1000美元转帐的最低需求
研究人员发现,这次攻击中使用的一些钱包也被用于其他攻击。攻击者在不同的垃圾邮件活动中重复使用一些比特币钱包地址。鉴于攻击者的比特币钱包重用,Talos决定扩大研究,包括所有提到“比特币”的垃圾邮件,同时邮件正文还拥有一串26-35个字符类似于比特币钱包地址。
二、攻击者使用个人信息
在第一个sextortion活动中发现的一个案例中,使用了受害者的电话号码而不是泄露数据中的密码。虽然电话号码不像用户密码那样私密,但它仍然是用户隐私。攻击者希望他们能够说服收件人,他们可以通过把受害者的电话号码展现在邮件内,使收件人相信他们的骗局是真的。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载