通过网空搜索引擎发现恶意软件登录页面

admin 2022年12月2日12:39:48安全新闻评论22 views1586字阅读5分17秒阅读模式

安全研究员 BushidoToken 最近利用 Shodan 网空搜索引擎,发现了三个新的信息窃密类恶意软件:Titan Stealer、Patriot Stealer 和 Raxnet Stealer。

Shodan

最初是以 http.html:"stealer" 在 Shodan 进行检索,能够发现信息窃密类恶意软件的登录页面。根据 Shodan 的结果,大部分都聚集在德国、巴拿马、美国与俄罗斯四个国家。

通过网空搜索引擎发现恶意软件登录页面

仅仅几天,数量已经出现了回落,可能是攻击者进行了规避动作。

通过网空搜索引擎发现恶意软件登录页面

信息窃密类恶意软件

发现的登录页面中很多是 Misha Stealer、Collector Stealer 与 Titan Stealer。其中,Titan Stealer 的登录页面是最新的,而且似乎没有被披露过。

通过网空搜索引擎发现恶意软件登录页面

Grand Misha/Misha Stealer

  • http.title:"misha" http.component:"UIKit"

  • https://urlscan.io/search/#filename:%22misha.css%22

  • https://urlscan.io/search/#task.tags:%22misha%22

Collector Stealer

  • http.html:"Collector Stealer"

  • http.html:"getmineteam"

  • https://urlscan.io/search/#task.tags:%22collector%22

Titan Stealer

  • http.html:"Titan Stealer"

  • https://urlscan.io/result/daca0fcd-bbc9-48c8-810d-89fee466b639

Patriot Stealer

新发现的恶意软件即服务(MaaS)平台 Patriot Stealer,可以窃取受害者的密码、Cookie、自动填充数据、Telegram 会话等。

通过网空搜索引擎发现恶意软件登录页面

从 Telegram 的描述来看,Patriot Stealer 的开发者似乎是讲西班牙语的攻击者。

通过网空搜索引擎发现恶意软件登录页面

  • http.favicon.hash:274603478

  • http.html:"patriotstealer"

  • https://urlscan.io/result/43a51776-e283-4522-ab29-ea5c7efc174a/

通过网空搜索引擎发现恶意软件登录页面

RAXNET Bitcoin Stealer

RAXNET Bitcoin Stealer 主要针对加密货币用户发起攻击,将目标钱包地址替换为犯罪分子自己的钱包地址。

通过网空搜索引擎发现恶意软件登录页面

这种恶意软件的售价从 80 美元与 150 美元不等。

通过网空搜索引擎发现恶意软件登录页面

运营人员也对外提供 75 美元的“传播方法”售卖。

通过网空搜索引擎发现恶意软件登录页面

  • http.favicon.hash:-1236243965

  • https://urlscan.io/result/c4f7f543-46f5-4051-b3cb-3699d4b99c5c/

总结

BushidoToken 在 GitHub 上列举了近 20 个检索 Tips,包括 PoshC2、PowerSploit 等。

Adversary Infrastructure on Shodan

https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md
目前仍然有一些在野活跃的登录页面,各位读者可以通过 Shodan 检索进行查询与验证。读者也可以尝试使用其他网空搜索引擎进行测试,如 ZoomEye、FOFA、Quake 与 Censys 等。
如之前所说,经过多年的探索,网络空间搜索引擎早不局限于当初的识别与发现网联设备的功能,由网空测绘结果数据上进行分析和挖掘产出的花样已经越来越多。相信各厂商能够基于海量的数据,探索更多新的“招式”。


点击查看原文即可查看 BushidoToken 博客内容

原文始发于微信公众号(威胁棱镜):通过网空搜索引擎发现恶意软件登录页面

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月2日12:39:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  通过网空搜索引擎发现恶意软件登录页面 http://cn-sec.com/archives/1437215.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: