恶意软件新平台 专为“准黑客”提供网络犯罪服务
E安全7月17日讯 如今,网络犯罪活动正日益趋于商业化,甚至凭借着对各类黑客工具与技术——包括漏洞利用工具乃至勒索软件——进行大规模出租以帮助潜在恶意人士建立威胁并发动攻击。
过去几年以来,我们已经见证了恶意软件即服务(简称MaaS)普及度的不断提升。如今,地下黑市中的此类业务仍在蓬勃发展,并开始提供勒索软件即服务、DDoS即服务以及网络钓鱼即服务等更多服务选项。
近期两组安全研究人员又发现了两项新的此类服务,而我们则将在本文中对其进行深入剖析。
这款新型凭证窃取恶意软件主要面向各类主流网络浏览器,其在俄语网站上销售且价格仅为51元人民币(450卢布)。这意味着任何人——无论是否拥有技术知识——皆将借此获得入侵目标计算机的能力。
这款被称为Ovidiy Stealer的恶意软件在上个月刚刚出现,但其俄罗斯开发者正在进行定期更新,并被众多网络犯罪分子所积极采用。
根据发现并分析Ovidiy Stealer的Proofpoint公司的安全研究人员的恶意软件分析结论,Ovidiy Stealer目前拥有多个版本,且分别针对包括英国、荷兰、印度以及俄罗斯的具体攻击目标。
根据安全研究人员们所言,这款轻量化、易上手且极具实效的恶意软件产品的单一定制化版本只需要450到750卢布(约合人民币51元到88元)。
尽管价格低廉,但该恶意软件所构建的可执行文件仍然经过加密,这意味着更难被检测及分析。不过报告指出,目前已经一部分反病毒产品已经能够根据其行为而检测出Ovidiy Stealer。
这款以写而成的凭证窃取恶意软件能够指向多种应用程序及浏览器,具体包括谷歌Chrome、Opera、FileZilla、Amigo、Kometa、Torch以及Orbitum等等。而买家们也可选择购买仅适用于某款单一浏览器的特定版本。
该恶意软件能够通过多种方式进行分发,包括恶意邮件附后、恶意下载链接、由各文件托管网站提供的伪造软件或者工具甚至是被嵌入至软件包之内。
Ovidiy Stealer本身并不能算特别强大或者先进,因为其中并不包含任何能够在设备重启之后继续确保恶意软件在设备上驻留的机制; 然而,其却拥有着广泛传播的可观潜能。
Ovidiy Stealer采用SSL/TLS连接以实现同指挥与命令服务器间的安全通信,此服务器托管在某俄罗斯域名之上——其作者也使用同一域名进行该恶意软件的宣传与销售。
“这是一款轻量化、易于上手且极具实效的产品,加上频繁的更新与稳定的支持系统,意味着Ovidiy Stealer极有可能引发更为广泛的安全威胁。
Ovidiy Stealer的出现证明,网络犯罪市场正呈现出以创新作为驱动力的发展态势,而网络安全保护方的新进入者及挑战组织必须全力跟上用户、用户数据以及用户系统所面临的新兴威胁变化速度。”
由Netskope威胁研究实验室的研究人员们发现的另一项犯罪软件即服务则属于一套网络钓鱼即服务(简称PhaaS)平台,其能够为新手欺诈分子提供成本低廉的自动化解决方案,帮助其完成恶意活动并骗取受害者的凭证信息。
这套PhaaS平台被命名为Hackshit,其通过提供免费试用帐户吸引新用户,并为新手提供一系列黑客教程与技巧以帮助其轻松获取不义之财。
“该市场已经成为提供服务购买与销售渠道,从而实现各类网络钓鱼攻击的门户。
攻击者随后可通过页面/生成器链接生成一套钓鱼页面,并登录至攻击受害者的邮件帐户,查看全部联系人信息进而发布更多包含钓鱼链接的恶意邮件。”
Hackshit允许各类黑客(订阅用户)面向多种服务生成独特的钓鱼页面,具体包括雅虎、Facebook以及谷歌Gmail等等。研究人员们指出,该钓鱼页面利用数据URI模式立足“某个拥有.moe顶级域名的安全HTTPS网站提供编码内容,从而规避传统安全扫描工具”。
研究人员们根据观察到的其中一段视频教程表示,攻击者可以使用Perfect Money或者比特币从市场上购买到已遭入侵之受害者的登录帐户。
此外,Hackshit网站还利用Let’s Encrypt(专门为Web服务器提供免费SSL/TLS凭证的开放证书颁发机构)颁发的SSL证书帮助人们更轻松地实现HTTPS。
这些犯罪软件即服务方案的出现无疑构成了新的安全挑战——其不仅允许恶意人士利用其它网络犯罪资源实施攻击,还为网络犯罪世界引入了更多“有心无力”的潜在参与人员。