Kaspersky:恶意软件BloodyStealer的分析

admin 2021年9月30日03:10:15评论90 views字数 5108阅读17分1秒阅读模式

背景

2021年3月,我们在一个俄语论坛上注意到一个名为 "BloodyStealer "的恶意软件。根据该恶意软件的广告,BloodyStealer是一种恶意窃取程序,能够获取会话数据和密码以及 cookie 渗出,并且通常可以防止逆向工程和恶意软件分析。买家可以使用Telegram渠道以及传统的web面板与C&C进行通信。作者向潜在客户提供了通过Telegram进行联系的机会。BloodyStealer的价格是一个月700卢布(不到10美元),或终身3000卢布(约40美元)。

Kaspersky:恶意软件BloodyStealer的分析

BloodyStealer 恶意软件的宣传广告

 

该广告强调了BloodyStealer的以下特点(按原样从俄语翻译):

  • 从浏览器中抓取cookies、密码、表格、银行卡

  • 窃取所有关于电脑和屏幕截图的信息

  • 窃取以下客户端的会话:Bethesda, Epic Games, GOG, Origin, Steam, Telegram, VimeWorld

  • 从桌面(.txt)和uTorrent客户端窃取文件

  • 从内存中收集日志

  • 重复日志保护

  • 逆向工程保护

  • 在CIS中不起作用

引起我们注意的是,BloodyStealer能够获取安装在受感染系统上的计算机游戏有关的信息。BloodyStealer主要针对主流网络游戏平台,如Steam、Epic Games Store、EA Origin等。

在我们进行调查时,与BloodyStealer相关的论坛帖子尚未公开,但对论坛上可见信息的分析显示,与BloodyStealer相关的讨论仍在私人渠道中进行。这一点,再加上自其发布以来就观察到了可见的窃取活动,表明BloodyStealer背后的威胁行为者决定只向暗网的VIP成员提供其产品。

卡巴斯基产品将该威胁检测为Trojan-Spy.MSIL.Stealer.gen。有关BloodyStealer的其它技术信息(恶意技术、YARA规则等),请联系[email protected]

 

BloodyStealer

反分析

在我们的研究中,我们能够确定几种反分析方法,这些方法被用来使BloodyStealer的逆向工程和分析复杂化,包括使用packers和反调试技术。由于盗窃者是在地下市场上出售的,每个客户都可以用他们选择的packer来保护他们的样本,或者将其纳入多级感染链。自BloodyStealer发布以来,我们一直在监测它,所以我们能够注意到大多数BloodyStealer样本都受到了名为“AgileNet”的商业解决方案的保护。

分析在野发现的样本时,我们发现其中一些样本不仅受到AgileNet保护,而且受到其它非常流行的.NET环境保护工具的保护,如Confuser。

 

受害者识别、与C&C的通信和数据溢出

BloodyStealer能够为每个受感染的受害者分配一个独特的标识符,该标识符是通过提取数据创建的,如系统的GUID和序列号(SID),这些信息是在运行时提取的。除了这种识别,BloodyStealer还通过向域名whatleaks[.]com请求信息来提取C&C的公共IP地址。

Kaspersky:恶意软件BloodyStealer的分析

用于获取公共IP 的请求

 

在给受害者分配UID并获得C&C的IP地址后,BloodyStealer从受感染的机器中提取各种数据,创建带有渗出数据信息的POST请求,并将其发送到恶意的C&C。数据本身随后以非保护性ZIP档案的形式发送到配置的C&C服务器,其结构如下所示。

Kaspersky:恶意软件BloodyStealer的分析

数据结构

被感染系统中配置的IP地址被用作ZIP档案的名称。

 

BloodyStealer是多阶段感染链的一部分

在我们对BloodyStealer样本的分析中,我们发现获得该产品的各种威胁行为者是如何将窃取程序作为其它恶意软件执行链的一部分的,例如,KeyBase或Agent Tesla。将窃取程序组件与其它恶意软件家族结合起来的犯罪分子还使用其它packers(如Themida)保护BloodyStealer。

Kaspersky:恶意软件BloodyStealer的分析

BloodyStealer 与其它恶意软件系列或黑客工具一起使用

根据BloodyStealer在地下市场的售价,我们可以预计它将与其它流行的恶意软件家族结合使用。

 

 

命令和控制

如上所述,BloodyStealer将所有渗出的数据发送到一个C&C服务器。网络犯罪分子可以通过使用Telegram或通过web面板访问这些数据。然后,收集到的数据可以出售给其他网络犯罪分子,而他们又会试图将其货币化。

Kaspersky:恶意软件BloodyStealer的分析

BloodyStealer C&C 登录页面

 

当犯罪分子登录 C&C web面板时,他们将看到一个仪表板,其中包含与受害者相关的统计数据。

Kaspersky:恶意软件BloodyStealer的分析

BloodyStealer 统计信息仪表板

 

在遍历用于分配内容面板的结构时,我们能够确定第二个C&C服务器位于hxxp://gwrg23445b235245ner.mcdir[.]me/4/654/login.php。

两个C&C服务器都放在Cloudflare后面,这隐藏了它们的原始IP,并提供了一层防止DDoS和网络攻击的保护。

 

受害者情况

与其它现今的恶意软件工具相比,BloodyStealer仍然是市场上的新产品。但是,通过分析现有的遥测数据,我们发现在欧洲、拉丁美洲和亚太地区发现了BloodyStealer的检测结果。在调查时,我们观察到BloodyStealer主要影响家庭用户。

 

 

暗网市场

不幸的是,BloodyStealer 不是只针对游戏玩家。随着更多人的使用,网络犯罪分子收集了大量与游戏相关的日志、登录凭据和其它数据,从而刺激了暗网上被盗凭据的完善供需链。在本节中,我们将深入挖掘暗网游戏市场并查看那里可用的游戏相关商品的类型。

我们的专家专门了解暗网的情况,他们对这些平台上作为商品的用户数据的当前状态进行了研究,以了解什么样的个人数据是有需求的,它被用来做什么,以及它的成本是多少。出于本报告的目的,我们分析了十二个使用英语或俄语的国际暗网论坛和市场上的活跃服务。

 

批发交易

暗网卖家提供种类繁多的商品,以批发和零售方式出售。具体而言,最受欢迎的批发产品之一是日志。

Kaspersky:恶意软件BloodyStealer的分析Kaspersky:恶意软件BloodyStealer的分析

在这些例子中,网络犯罪分子提供日志:包含超过65,000条日志的档案,售价150美元;包含1,000条私人日志的包,售价300美元。

 

日志是访问账户所需的凭证。它们主要包括保存的浏览器cookies、服务器登录信息、桌面截图等,它们是访问受害者账户的关键。日志可能已经过时,只包含旧的游戏会话,甚至没有与账户相关的数据,这就是为什么它们在使用前需要进行检查的原因。而在日志销售链中,存在几个角色。

首先,有一些人在僵尸网络或网络钓鱼计划的帮助下窃取日志,这些人就是运营商。运营商在他们的云中可能有成千上万条收集的日志,但需要验证整个数据流。为了处理这些日志,网络犯罪分子需要检查登录和密码组合是否仍然相关,自上次更改密码或电子邮件以来已经过去了多少天(即受害者是否已经发现账户被盗),并检查余额。网络犯罪分子可能会自己完成此操作,但事实证明,这可能会非常耗时,因为要翻阅成千上万的日志。因此,出现了日志检查员:拥有处理日志的特殊工具的网络犯罪分子。该软件收集关于已处理的日志的统计数据,而检查者则获得利润的一部分:通常为40%。

 

可以按单位购买日志并进行手动处理,也可以批量购买并在专业服务机构的帮助下进行处理。每个日志的平均价格是34美分,每100个日志的价格是17.83美元。

Kaspersky:恶意软件BloodyStealer的分析

该广告商以25,000美元的价格向一个人提供一批日志,但没有提及数据量。

 

还有一些网络犯罪分子拥有覆盖面广的网站,提供恶意软件链接作为分发方式。在暗网的广告中,这些犯罪分子附加了流量和下载统计数据,以吸引更多客户。

 

零售选择

如果网络犯罪分子专门从事小规模销售(两到十件商品),那么他们在暗网提供的商品类型将包括某些游戏、游戏内商品和流行游戏平台的账户。重要的是,这些产品的售价通常仅为原价的 60-70%,因此客户可以在暗网市场上获得优惠。一些犯罪分子可以拥有数以千计的账户,并以巨大的折扣提供这些账户的使用权,因为这些账户中有许多是无用的:有些账户是免费的,有些账户已经被原始使用者收回。

Kaspersky:恶意软件BloodyStealer的分析

只需4000美元就能为各种游戏平台提供数千个用户名和密码

 

暗网卖家提供被盗账户,重要的选择标准是账户中可用的游戏数量以及账户创建的时间。游戏和附加组件并不便宜,而这正是网络犯罪分子加入竞争的地方,他们以低的多的价格提供同样的流行游戏。除了Steam,Origin、UbisoftStore、GOG、Battle.net 等游戏平台上的账号也被盗、转卖。

Kaspersky:恶意软件BloodyStealer的分析

卖家提供游戏中的物品,原价是20.5美元,但客户可以用16.45美元的价格非法获得这些商品。

 

除了某些游戏和账户外,网络犯罪分子还以原价30-40%的折扣出售各种游戏的稀有装备。如果拥有这些物品的Steam账户没有向其它玩家发送礼物的限制,例如没有电子邮件确认的要求,则这是可能的。

一些网络犯罪分子还出售所谓的 "Steam balance"。根据来源的不同,Steam balance可以是 "白色 "或 "黑色"。白色意味着从卖家自己的账户出售,玩家可能厌倦了游戏,并决定出售他们的账户,以及所有相关的游戏中的物品,并在黑市上提供,因为Valve不批准这种交易,这样的账户可以被用于非法活动,如欺诈或洗钱,因为它们在Steam看来尚不可疑。黑色balance意味着这些Steam账户是非法获得的,例如,通过网络钓鱼、社会工程或其它网络犯罪技术。在原始所有者通过支持服务的帮助重新控制其财产之前,网络犯罪分子会尽最大努力通过购买 Steam 卡、游戏内物品、礼物等来提取资金。

Kaspersky:恶意软件BloodyStealer的分析

一个人正在概述一个借助PUBG钓鱼网页窃取账户的计划

除了购买商品,暗网论坛的访问者还可以购买钓鱼工具的使用权,这是一个不太受欢迎的服务。正如截图所示,该网络犯罪分子提供了一个名为 "Black Mafia"的工具。在接受了这些工具将仅用于教育目的的条件后,钓鱼工具甚至可以从GitHub下载。

犯罪分子可以使用该工具来创建一个钓鱼链接,并将其发送给毫无戒心的受害者。这通常遵循久经考验的流程:受害者点击链接并输入他们的凭证,然后这些凭证最终落入犯罪分子手中。

 

 

结论

本文展示了暗网市场游戏日志和登录窃取业务的结构。随着游戏行业的发展,我们预计这种网络犯罪活动在未来不会减弱。相反,随着针对游戏玩家的工具不断发展,我们可能会在这个领域看到更多的攻击。BloodyStealer是网络犯罪分子用来渗透游戏市场的先进工具的一个典型例子。凭借其高效的反检测技术和诱人的价格,它肯定会很快与其它恶意软件系列结合使用。此外,它还有一些有趣的功能,比如提取浏览器密码、cookies、环境信息以及抓取与网络游戏平台相关的信息,BloodyStealer 提供了可以从游戏玩家那里窃取并随后在暗网上出售的数据方面的价值。暗网论坛上销售的游戏相关商品的概述也证实,这对网络犯罪分子来说是一个有利可图的市场。由于在线游戏平台账户持有宝贵的游戏内商品和货币,这些账户就成为一个有价值的目标。虽然购买账户是一场赌博,因为这些账户也可能不包含可以出售的商品,但网络犯罪分子愿意下注,并且肯定会找到能够使其节省娱乐费用的客户。

为了尽量减少丢失游戏账户的风险,请遵循这些简单的事项:

  • 在可能的情况下,使用双因素认证来保护账户。对于其他人,梳理一下账户设置。

  • 一个强大、可靠的安全解决方案将能提供很大的帮助,尤其是当你在游戏时,它不会拖慢你的电脑。同时,它将保护你免受所有可能的网络威胁。我们推荐卡巴斯基全面安全系统,它能与Steam和其它游戏服务顺利配合。

  • 只在官方网站上购买游戏并等待销售是比较安全的。这些销售活动相当频繁,而且通常与万圣节、圣诞节、圣瓦伦丁节等大节日联系在一起,所以你不会长期坐以待毙。

  • 尽量避免购买第一个出现的东西。即使在Steam的夏季促销期间,在为一个鲜为人知的标题掏钱之前,至少要阅读一些评论。如果有什么不对劲,人们很可能已经发现了。

  • 谨防钓鱼活动和不熟悉的游戏玩家与你联系。在点击通过电子邮件收到的网站链接和将打开的文件的扩展名之前,最好再检查一下。

  • 尽量不要点击游戏聊天中的任何指向外部网站的链接,并仔细检查任何要求你输入用户名和密码的资源的地址:该页面可能是假的。

 

原文链接:

https://securelist.com/bloodystealer-and-gaming-assets-for-sale/104319/

 

本文始发于微信公众号(维他命安全):Kaspersky:恶意软件BloodyStealer的分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月30日03:10:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Kaspersky:恶意软件BloodyStealer的分析http://cn-sec.com/archives/561356.html

发表评论

匿名网友 填写信息