安全研究员 BushidoToken 最近利用 Shodan 网空搜索引擎,发现了三个新的信息窃密类恶意软件:Titan Stealer、Patriot Stealer 和 Raxnet Stealer。
Shodan
最初是以 http.html:"stealer" 在 Shodan 进行检索,能够发现信息窃密类恶意软件的登录页面。根据 Shodan 的结果,大部分都聚集在德国、巴拿马、美国与俄罗斯四个国家。
仅仅几天,数量已经出现了回落,可能是攻击者进行了规避动作。
信息窃密类恶意软件
发现的登录页面中很多是 Misha Stealer、Collector Stealer 与 Titan Stealer。其中,Titan Stealer 的登录页面是最新的,而且似乎没有被披露过。
Grand Misha/Misha Stealer
-
http.title:"misha" http.component:"UIKit"
-
https://urlscan.io/search/#filename:%22misha.css%22
-
https://urlscan.io/search/#task.tags:%22misha%22
Collector Stealer
-
http.html:"Collector Stealer"
-
http.html:"getmineteam"
-
https://urlscan.io/search/#task.tags:%22collector%22
Titan Stealer
-
http.html:"Titan Stealer"
-
https://urlscan.io/result/daca0fcd-bbc9-48c8-810d-89fee466b639
Patriot Stealer
新发现的恶意软件即服务(MaaS)平台 Patriot Stealer,可以窃取受害者的密码、Cookie、自动填充数据、Telegram 会话等。
从 Telegram 的描述来看,Patriot Stealer 的开发者似乎是讲西班牙语的攻击者。
-
http.favicon.hash:274603478
-
http.html:"patriotstealer"
-
https://urlscan.io/result/43a51776-e283-4522-ab29-ea5c7efc174a/
RAXNET Bitcoin Stealer
RAXNET Bitcoin Stealer 主要针对加密货币用户发起攻击,将目标钱包地址替换为犯罪分子自己的钱包地址。
这种恶意软件的售价从 80 美元与 150 美元不等。
运营人员也对外提供 75 美元的“传播方法”售卖。
-
http.favicon.hash:-1236243965
-
https://urlscan.io/result/c4f7f543-46f5-4051-b3cb-3699d4b99c5c/
总结
BushidoToken 在 GitHub 上列举了近 20 个检索 Tips,包括 PoshC2、PowerSploit 等。
Adversary Infrastructure on Shodan
https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md
点击查看原文即可查看 BushidoToken 博客内容
原文始发于微信公众号(威胁棱镜):通过网空搜索引擎发现恶意软件登录页面
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论