在攻击活动分析中,安全研究人员指出攻击者分别使用了Android和Window 平台的远控工具,其中Android平台攻击样本使用了商业间谍软件SpyNote和SonicSpy,以及开源间谍软件AhMyth和Metasploit;Windows平台使用了开源远控工具AsyncRAT。
安全公司发现暗网移动恶意软件市场InTheBox
近日,安全公司Resecurity在暗网中锁定了一个新的地下交易市场,该市场主要面向移动恶意软件开发人员和运营商。该市场被称为“InTheBox”,至少从2020年5月开始,TOR 网络中的网络犯罪分子就可以使用该市场,也是从那时起,它已经从一个私人运营的网络犯罪服务转变为当今以其庞大的数量而闻名的最大市场提供出售的独特工具和所谓的WEB注入。
截止目前,网络犯罪分子利用“In the Box”暗网市场对43个国家/地区的 300 多家金融机构 (FI)、支付系统、社交媒体和在线零售商实施网络攻击。
Resecurity 是一家总部位于加利福尼亚的网络安全公司,为主要的财富 500 强公司提供保护,它在暗网中 发现 了一个新的地下市场,该市场面向移动恶意软件开发商和运营商。该市场被称为“InTheBox”,至少从 2020 年 5 月开始,TOR 网络中的网络犯罪分子就可以使用该市场,但是从那时起,它已经从一个私人运营的网络犯罪服务转变为当今以其庞大的数量而闻名的最大市场提供出售的独特工具和所谓的 WEB 注入。
这种恶意场景是骗子故意开发的,用于网上银行盗窃和金融诈骗。Web 注入被集成到移动恶意软件中以拦截银行凭据、支付系统、社交媒体和电子邮件提供商凭据,但还不止于此,这些恶意工具还收集其他敏感信息,如信用卡信息、地址详细信息、电话和其他 PII。这种趋势来自“浏览器中的人”(MiTB) 攻击和为 Zeus、Gozi 和 SpyEye 等传统基于 PC 的恶意软件设计的 WEB 注入。后来,网络犯罪分子成功地将相同的方法应用于移动设备,因为现代数字支付在消费者使用的移动应用程序方面极为互联。
据 Resecurity 的专家称,已确定的“In The Box”市场现在可以自豪地称为涉及移动设备的银行盗窃和欺诈的最大和最重要的催化剂。可用恶意武器库的质量、数量和范围突出了调查结果的重要性。目前,网络犯罪分子提供超过 1,849 种恶意场景供销售,专为来自超过 45 个国家(包括美国、英国、加拿大、巴西、哥伦比亚、墨西哥、沙特)的主要金融机构、电子商务、支付系统、在线零售商和社交媒体公司而设计阿拉伯、巴林、土耳其和新加坡。网络犯罪分子针对的受支持组织包括亚马逊、贝宝、花旗、美国银行、富国银行、星展银行等。
暗网机器人和注入信息图
暗网机器人和注入信息图
“IntheBox”市场背后的运营商与主要移动恶意软件家族的开发商密切相关,包括 Alien、Cerberus、Ermac、Hydra、Octopus(又名“Octo”)、Poison 和 MetaDroid。网络罪犯以 2,500 美元至 7000 美元不等的订阅费为基础租用移动恶意软件,在某些情况下,还要求地下供应商为特定服务或应用程序开发专门设计的注入程序,以确保在移动设备上成功窃取凭据。此类恶意场景的设计与其对应的合法应用程序相同,但包含拦截受害者登录名和密码的虚假表单。除此之外,移动恶意软件使犯罪分子能够拦截银行通过短信发送的 2FA 代码,或重定向包含验证详细信息的来电。随着岁月的流逝,
每年,面向移动设备的恶意软件数量呈指数增长。根据独立研究,几乎每 5 个移动设备用户中就有 1 个可能受到移动恶意软件的危害。不良行为者利用巧妙的策略绕过反欺诈过滤器并进行银行盗窃,以确认所有验证码而不看起来可疑 - 使用超过限制的金额并将其分批发送。典型的银行盗窃金额在每个消费者 5,000 - 15,000 美元和每个企业 50,000 - 250,000 美元之间,具体取决于规模和业务活动。到 2022 年,欺诈造成的损失总计超过 56 亿美元。再加上商业电子邮件泄露、洗钱和投资诈骗等其他类型的欺诈,创造了一个在地下流通着数万亿美元的巨大影子经济。
“网络犯罪分子比以往任何时候都更加关注移动设备,因为没有它们就不可能进行现代数字支付。成功破坏移动恶意软件网络和相关的网络犯罪服务对于保护全球金融机构和消费者至关重要”——Resecurity 首席技术官 (CTO) Christian Lees 说。“随着大流行后世界欺诈活动的快速增长,不法分子继续升级他们的工具库,以攻击主要金融机构 (FI)、电子商务平台和在线市场的客户,使他们能够从即将到来的圣诞节和新年假期。根据 Resecurity® 在 2022 年第四季度收集的统计数据,Digital Forensics & 对来自北美、亚太地区、拉美以及中东和北非 (MENA) 等多个地区的财富 500 强公司进行的事件响应 (DFIR) 活动。网络犯罪分子在攻击移动设备并利用获得的访问权限进行进一步的未授权访问和金融盗窃时特别成功。” - 他加了。
Resecurity 的 HUNTER 部门发现了移动银行恶意软件传播背后的催化剂,该部门与国际执法机构和行业合作伙伴密切合作,通过追捕背后的参与者来调查网络犯罪活动。
架构、生态系统、参与者概况和获取的恶意场景背后的情报已与 FS-ISAC 和谷歌安全团队共享,因此防御者可以开发签名和策略以适当保护移动用户。“InTheBox”支持的大多数移动恶意软件都针对使用 Google Android 的设备,这就是为什么与 Google 安全团队主动共享情报将促进加强消费者保护,在即将到来的圣诞节和冬季假期(称为由于在线交易和支付的增加,欺诈活动达到顶峰。
