黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

  • A+
所属分类:安全工具

黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

黑灰产情报周报是永安在线开通的新栏目,基于永安在线的业务安全情报平台及长期的黑灰产研究,旨在为风控从业者提供最新的行业趋势分析及动态。




本周热点情报


1、黑产行为系列:黑产自动化工具之可爱猫微信机器人框架。


2、上周腾讯QQ注册攻击数量激增,其中96%的注册手机卡为海外拦截卡,支持QQ授权登录的平台需警惕。


3、近两周,国内IP占比始终多于国外IP,且两者的差距在逐渐拉大。这意味着黑产可使用的国内IP资源更加富裕,从中能挑选出更多的优质IP用于攻击。


一、黑产作恶工具风险情报


1、对近一周新增黑产恶意攻击工具攻击的域名进行统计,排名如下:


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图1-1  Top 10 产品接口占比情况


• 针对拼多多的电商辅助工具总量依然是最多,针对京东的新增黑产工具功能主要为库存监控、领券类,而淘宝方面则主要为商品上架、售后刷评类。


• 抖音方面新增黑产工具主要为自动抢福袋(一种抖音的虚拟物品),而快手则主要是养号、自动做任务类工具。


• 针对链客生活和爱丽丝交易所(二者皆为区域链类软件)、欢太商城、BiliBili的工具为自动化拉新注册类,骗取平台拉新奖励


2、黑产自动化工具之可爱猫微信机器人框架


可爱猫是一款发展较早的微信机器人框架工具,可通过插件实现多种功能,支持多种语言开发插件(易语言、PHP、Java、C#、C++、Python),目前已经发展出近三百款插件

黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图1-2 可爱猫运行演示截图


可爱猫通过插件可以实现自动回复、自动同意好友申请、自动拉群、自动聊天、自动收款、自动转码、淘宝联盟/京东联盟/苏宁联盟/多多进宝推广商品转链、清空朋友圈、清理僵尸粉、活动对接等功能,下面介绍三款在微信小程序营销活动作弊场景中使用最多的功能。


• 自动收款插件


可实现自动接收微信好友转账的功能,无需人工点击收款,是黑产实现自动化的第一步


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图1-3 自动收款插件演示截图


• 自动转码插件


可提取小程序中的活动邀请码,如下图中的inviteCode。提取小程序活动邀请码是协议作弊的第一步,有利于后续使用协议工具拼接活动邀请码实现助力作弊。

此类插件还可实现将小程序链接转成小程序码的功能,便于在真人众包平台发布助力任务。


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图1-4 自动转码插件演示截图


• 活动对接插件


黑产通过此类插件可以实现发展下线/代理的功能,达到快速扩展客源的目的。


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图1-5 活动对接插件演示截图


二、黑产作恶手机号


1、近一周,黑手机卡注册攻击Top10产品:


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图2-1 黑手机卡注册攻击Top10产品


• 腾讯QQ注册攻击数量激增,除了用于QQ养号、微信注册外,也普遍用于能够直接利用QQ授权登陆的APP。本周,有关腾讯QQ的手机号接码攻击较上周出现大幅度的上升,这批手机号的归属地多为国外,以南非、埃塞俄比亚、孟加拉为主。对于这些Q号,黑产除了进行养号、微信注册外,还会用于能够进行QQ授权登陆的APP(如京东商城、京喜、微博等)。

• 黑产攻击腾讯QQ多以海外拦截卡作为攻击物料。以卡的类型来看,对QQ进行注册攻击的这批手机卡,其拦截卡的归属地多为海外国家,传统卡的归属地则为国内,且拦截卡与传统卡占比为96%比4%,两者差距极大。可以推测,黑产为了绕过QQ的风控,不得不使用具有真实用户行为的拦截卡;而为了能获取大批量且稳定的拦截卡来源,最后选择了南非、埃塞俄比亚、孟加拉等海外国家。


三、黑产作恶IP


1、近一周,黑产作恶IP的C段聚集率:


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图3-1 黑产作恶IP的C段聚集率占比分布


• 黑产可使用的IP代理池子中的IP已经进行了新一轮的替换,大批正常的IP将被黑产作为攻击物料。本周,聚集率小于等于20%的C段的占比比上周增加了23.9%,这表明尚未出现大规模的IP连号现象。即秒拨/代理网站正在对其IP代理池子中的IP进行替换操作,目前正处于替换IP的初步阶段;在中后期,随着之前被洗白的IP被不断的补充进代理池中,IP连号的将会大规模出现,具体表现为:聚集率小于等于20%的C段的占比逐渐下降,其余C段聚集率的占比将逐渐上升。


2、黑产作恶IP国内外分布占比:


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图3-2 黑产作恶IP国内外占比


• 国内厂商始终是黑产的首要攻击目标,黑产在攻击国内厂商时可投入的资源远远多于攻击国外厂商或国内厂商的海外版软件。近两周,国内IP占比始终多于国外IP,且两者的差距在逐渐拉大。这意味着黑产可使用的国内IP资源更加富裕,从中能挑选出更多的优质IP用于攻击。


3、近一周,被捕获过的IP在一个月内的存活情况:


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图3-3 国内及国外IP不同存活天数下的占比


• 本周被捕获到的黑产作恶IP过半是存活时间不超过3天的IP,国外IP质量明显优于国内IP。在国内IP中,存活天数在1~3天内的IP占比为56.61%;而国外的占比则达到78.44%。这表明大部分国外代理/秒拨网站的IP代理池的更新速度是比国内的网站要快的。


四、黑产交易情报


1、京东“春尚新”活动上线,京东黑产账号买卖订单笔数激增


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图4-1 近一周,京东的账号交易订单数变化


• 本周,因京东“春尚新”活动上线,与京东有关的黑产账号买卖订单笔数出现大幅度的上升。3月21号当日账号买卖订单笔数达8209笔。此外,本周京东的买卖账号数达19万,较上周增长9.68倍;交易金额达44万,较上周增长7.48倍。


• 黑产对京东账号最基本的利用是与上文“工具风险情报”模块中的领券工具搭配使用。此外,账号也可能会用于23号上线的拆盲盒活动,该活动要求用户完成浏览商品会场、浏览商品、好友助力等任务获取金币,而金币可用于抽取盲盒。


2、抖音直播间抢福袋再次受到黑产的重点攻击


黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

图4-2 3月份与“抖音福袋”相关的话题数


• 抖音账号商品交易数激增,直播间抢福袋或成主要攻击对象。本周,抖音的账号商品的交易数为上周的2.71倍,账号商品的交易规模有明显的增加。此外在黑产线报方面,有关“抖音福袋”的话题数量也呈现突然上升的现象;而在黑产工具方面,支持抖音抢福袋功能的工具或云控也在出现。综上,可以推断黑产已经把目光转向抖音直播间“抢福袋”上。


• 这对于黑产来说,是一件一举两得的事情,因为抖音养号一直是某些黑产团队的主要收入来源,现在可以在养号的同时抢福袋,既增加了养号的成功率也能把抢福袋带来的抖音提现。


你对哪个模块更感兴趣呢?你觉得哪个模块最无趣呢?还有什么你比较关心的情报呢?请给我们留言吧ψ(`∇´)ψ。


• 本周热点黑灰产情报

• 黑产作恶工具情报

• 黑产作恶手机号情报

• 黑产作恶IP情报

• 黑产交易情报


永安在线近期热门报告

永安在线 · 证券行业数据资产泄漏分析报告
永安在线 · 网络赌博支付洗钱产业链分析报告
永安在线 · 2020年黑灰产攻防研究年度总结报告
永安在线 · 真人作弊黑灰产研究报告
黑产攻击手段隐蔽升级 短信拦截卡与宽带IP成主流

黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

本文始发于微信公众号(永安在线情报平台):黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: