“利”字当头:EITest幕后团伙转型技术支持诈骗,大肆传播门罗币挖矿工具

前情提要

MottoIN曾在今年六月份发布过一篇有关《解析顶级漏洞利用工具包 RIG 活跃度持续坠落的原因》的文章,在其中谈到臭名昭著的恶意软件开发包EITest幕后的团伙正在转向趋利性的技术支持诈骗型的攻击活动。另外,有研究人员发现,近期网络犯罪分子的兴趣从比特币转向门罗币(Monero)。

趋势科技公司最近发现EITest 幕后团伙利用技术支持诈骗的手法传播门罗币挖矿工具,借以牟取暴利。这一现象,很好的印证了上述两种发展趋势。

本文就这一情况进行深入分析。

事件概述

根据趋势科技公布的报告显示,研究人员发现臭名昭著的EITest幕后团伙利用技术支持诈骗(一种社会工程学诈骗方式)传播一个JavaScript(JS)加密货币挖矿工具(趋势科技将其识别为HKTL_COINMINE)。

在这类诈骗活动中,有时攻击者伪造成提供合法的技术支持服务,恐吓不知情的受害者(提醒其机器已经感染了恶意软件),诱骗他们运行加密货币挖矿脚本。

EITest幕后团伙的主要方式是入侵网站,他们的活动可以追溯到2014年,曾经惯用Angler ELK工具包分发勒索软件。从2017年1月开始转型,从利用ELK工具包转向网络钓鱼攻击或技术支持诈骗。在最近的一个月内,研究人员在990个被入侵的网站中发现一个恶意软件脚本,将潜在受害者引导到技术支持诈骗相关的网站。最近正在进行的攻击活动中增加了Coinhive JS挖矿工具,能够使得受害者的电脑变成一个挖掘门罗币的矿工。分析显示,这个JS 加密货币矿工与The Pirate Bay网站上嵌入的“Coinhive” JS矿工是一样的。

图1:观察到的Coinhive相关流量的时间线


*注释:上图中高亮显示的9月19日,是研究人员发现的ElTest开始实施加密货币挖掘的时间点。


图2:EITest技术支持诈骗活动的国家分布

攻击链

当用户访问一个被入侵的网站时,该网站首先通过HTTP请求中的User-Agent信息识别出用户使用的浏览器类型。如果用户使用Chrome浏览器,则直接将钓鱼脚本注入到网页中。(注:初步测试表明,目前的攻击不会影响到Firefox浏览器。)钓鱼脚本编码会提示用户需要下载Hoefler字体才能正常显示网页的内容,但实际上会下载一个恶意的可执行文件。

如果如果用户的浏览器是Internet Explorer,则会被重定向到一个包含Coinhive门罗币挖矿JS脚本的技术之一钓鱼页面。下图是恶意脚本使用TDS(traffic direction system)将用户重定向到技术支持诈骗网站的快照。

图3:受损网站恶意脚本的截图(TDS重定向的URL地址高亮显示)

图4:技术支持骗局网页的截图

技术支持诈骗网页是一个伪造的、看起来与合法的微软Windows通知很相似的页面(如上图4所示),提示受害者“该系统已被恶意软件感染,并督促用户打电话给他们的“技术部门”来解决这个问题。”然而,实际上,网页会加载Coinhive上的一个脚本并运行JS加密货币挖矿工具。除了系统滞后或性能问题外,大多数用户不会注意到他们的系统受到了感染。

图5:Coinhive的JS 加密货币矿工的注入过程(左),以及它对用户系统的影响(右)

事实上,加密货币挖掘类型的网络犯罪越来越受到网络犯罪分子的青睐,因为它是一种典型地非零和博弈。坏人在不需要太多投入(甚至不用创建自己的恶意软件)的基础上,就能利用现有的灰色的恶意软件获得利益,从而导致这类诈骗活动能够继续远离执法人员的视线。


*注释:在非零和博弈中,对局各方不再是完全对立的,一个局中人的所得并不一定意味着其他局中人要遭受同样数量的损失。也就是说,博弈参与者之间不存在“你之得即我之失”这样一种简单的关系。–百科


然而,对于最终用户来说,实际上遭受的不仅仅是系统的磨损和性能影响。要知道部署加密货币的挖掘工具,需要基于Web或网络漏洞(诸如跨站脚本攻击、远程执行代码、暴力破解和SQL注入等),犯罪分子在行动过程中,会威胁到网络或系统的可用性和安全性,甚至可能影响到存储数据的安全性。更糟的是,在整个攻击链条中,受害者成了问题的一部分

缓解措施

想要尽量缓解这类加密货币挖掘相关的攻击,用户应当遵循一些最佳实践,包括但不限于以下几点:

  • 定期更新和修补你的系统(包括你的浏览器);

  • 更谨慎地防范社会工程学的攻击载体,如可疑的URL链接和电子邮件附件;

  • 可以考虑禁用JS脚本以防止像Coinhive之类恶意JS的运行;

  • 最后,分析Coinhive的门罗币挖掘脚本的属性,目前并没有持久性机制,因此,用户可以通过简单的关闭网站/浏览器的操作,停止恶意脚本的运行。

IoCs

与TDS 服务器相关的域名和IP地址:

mackenzie190912[.]gq

mackenzie19091[.]gq

162[.]244[.]35[.]210

与技术支持诈骗页面相关的域名和IP地址:

angel200911[.]ml

162[.]244[.]35[.]35

162[.]244[.]35[.]36

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/106050.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code